央广网北京3月7日消息（记者马闯 马喆）据中国之声《新闻纵横》报道，要问今年春节什么最火？抢电子红包肯定可以入选。然而就在正月十五，传统民俗中过年的最后一天，乌云漏洞平台发布的一条微博，给如火如荼的微信红包泼了瓢冷水。这条微博是这么说的：“给大家讲个惊悚故事——网络金融！有乌云白帽发现微信红包存在高危漏洞，可越权抢到其他用户发的红包，不到二十分钟就能进账200。这么算下来啥都不做就能日入过万，躺着把钱挣了……没想到微信竟然会出现这种问题，可见如今的互联网化金融还是存在诸多风险，用户选择需谨慎！”

　　再说说这条微博的发布者，乌云漏洞平台。它是一个网络安全问题的反馈分享平台，目的是为计算机厂商和网络安全的研究者提供技术上的参考以及漏洞的修复。那么微信红包真的如微博中所说存在高危漏洞吗？腾讯方面对此又如何回应呢？

　　在你争我夺，你发我抢的欢乐中，手机抢红包成为了今年春节移动互联网端最热门的全民游戏。就在除夕当天，微信红包的收发总量超过10亿次，是2014年的200倍。春晚摇一摇红包总共派出金额为5亿元人民币，互动总量超过110亿次。期间，由于红包发放的频率过于密集，微信出现多次拥堵，致使红包和信息难以发出。可是有谁能想，在欢乐和祝福的背后，却暗藏着漏洞和风险。360互联网攻防实验室研究员、高级分析师安扬具体解释漏洞。

　　安扬：乌云报的微信红包的漏洞，其实就是一种越权访问的漏洞，我可以去抢陌生人发的红包。按照正常的规则，我只能抢好友发的，或者微信群发出的红包，但是白帽子它分析出了微信红包的一个地址，然后把后面的ID换了几位数，然后就可以用一个自动的程序访问这些红包。验证这个漏洞有没有被攻击，就是你的红包有没有被陌生人领走。

　　乌云网创始人孟卓介绍，用户所发的红包金额大小各异，最小的有一分钱红包，最大的红包可以上万，因此很难统计漏洞可能造成的损失。但是，他们测试的结果显示，不到20分钟，能够破解红包ID的程序可以抢到200多块钱，平均折合一分钟10块钱。

　　孟卓：数额不一定，这是很随机的一件事，它是白帽子测试，它是不到20分钟，抢到了200多块。这个金额是没办法计算的，咱们抢红包也知道，有几分的、有几毛的，有的大群，可能几百、上千的都有，这个说不准。

　　换句话说，抢走你红包的可能不只是你的微信好友，还有可能是精通网络技术的陌生人。发红包，本来是亲友间礼尚往来的游戏，相信谁也不想“肥水流进外人田”。那么这个漏洞是否造成了用户损失？和红包关联的银行卡会受到影响吗？

　　对第三方平台曝光微信红包存在的高危漏洞，腾讯方面表示，这一漏洞早在两个月前就被发现，并且在第一时间进行了修复，没有造成任何损失。腾讯在给媒体的回复中用略带调侃的口气说，“哎，旧闻呐，还是两个月前的”。可是，问题来了，为什么乌云网要在事发之后两个月，才向公众说明微信红包的漏洞？对此，孟卓解释说，这与乌云网发现漏洞，提示企业修复、再向社会公告的工作流程有关。

　　孟卓：我们这边的流程是，报告上来的时候，这个问题可能是未修复，我们大概给企业留两个月的时间，对漏洞企业保密，让企业修复。最近这个案例就公开了，可能对网络金融等等都是很好的预警，我们就拿出来在微博上说了一下。

　　其实，业内人都明白，无论是支付宝红包，还是微信红包，它们背后更大的一盘棋是争夺移动互联网的支付入口。如果更多用户通过微信红包绑定银行卡，那么未来的移动支付领域，微信将具有先天优势。这次微信红包的漏洞，会不会致使用户的银行卡出现危险？作为第三方机构，乌云网孟卓予以了否认。

　　孟卓：目前从我们来看，它的危害仅仅限于红包包出来的包，目前的漏洞是没有影响到银行卡、信用卡的安全。

　　亡羊补牢、为时不晚。由于发现较早，补救及时，此次微信红包的漏洞或许没有造成大范围的损失。但还是让人捏一把汗。360互联网攻防实验室研究员、高级分析师安扬表示，漏洞事件给国内互联网企业提了一个醒。

　　安扬：业务上线前要做好非常严格的安全检测，其实这是一个非常低级的漏洞，大家都没有想到微信红包这么一个大型的互联网公司上线的产品会发生这种低级错误，这也说明安全审查、安全监测的重要性。

　　中国互联网协会信用评价中心法律顾问赵占领则认为，互联网领域中没有绝对的安全，企业要格外重视涉及到用户财产的互联网服务。

　　赵占领：企业本身加大技术投入的同时，也可以发动一些社会的力量帮助他去寻找漏洞，比如乌云网这样的发布漏洞的平台，这里面就有很多的技术高手，从企业之外去发现漏洞。这也提醒互联网企业在提高自身技术的同时，也可以借助外部的力量提高。

　　目前来看，乌云在微博里讲的“惊悚故事”只是虚惊一场，至少目前大家不必担心微信红包的安全问题。不过这也给互联网企业提个醒，在移动互联支付如火如荼的当下，安全审查很重要；发现漏洞，亡羊补牢，也很重要。