调查发现,大量政府登记过的公共二维码因域名过期被黑客劫持,扫码者被导向色情与诈骗网站。

中国的二维码曾是日常生活的标志。坐公交、看路灯、逛公园,随处可见印着二维码的金属牌。市民扫码就能报修设施、查询信息。这套系统从2016年北京引入,本意是智慧城市管理。如今,它却成了犯罪分子的新猎物。

2026年7月7日,一家电视台发布调查,揭露公共二维码被劫持的现象。报道描述了一起发生在3月的事件。苏州一座公园的游览车上贴着二维码。一位市民扫码后,手机没有跳转到正常页面,而是进了一个色情网站。公园管理方说,那辆车的二维码在失效后被黑客劫持了。

类似情况在北京也出现了。2月,一位北京居民发现,他扫了路边一根电线杆上的二维码,结果同样跳转到了色情网站。记者追查发现,这个域名是通过北京官方备案系统注册的,按规定有效期一到十年不等。该域名在2月27日到期。社交媒体用户反映,到期后不久,这个码就开始指向色情网站。

记者试图联系域名持有者,那似乎是一家科技公司。电话打过去,对方直接挂断,再打便无人接听。记者按登记地址找上门,一处是废弃的厂房,另一处则是一家毫不相关的公司。最终,调查方通过12345市民热线投诉。几天后,朝阳区城管委回复说问题已经解决。

调查方还对公交站、路灯杆、邮筒上的市政二维码做了抽查,发现很多码已经失效。报道还提到,全国多地网友反映,不仅公共设施,连儿童读物、玩具包装上的二维码,也被导向了非法网站。

网络安全专家向国内媒体解释,二维码本身没有内置安全机制,危险来自它指向的网站。犯罪分子很容易劫持那些过期域名所关联的网址。一旦得手,二维码就从信息查询入口,变成了通往色情、诈骗和窃取数据的大门。

专家还谈到域名价格。在中国,个人或企业必须从官方授权的注册商处购买网站名。价格取决于域名长短和朗朗上口的程度,一次注册通常要花几千到一万多元。

业内人士建议,用二维码管理城市本是好事,但公共二维码的失效暴露出城市管理的漏洞。一个公共二维码一旦停用,它背后的域名迟早会到期。域名到期之后,谁都能低价买下,再把扫码者引到自己想引的地方。对犯罪分子来说,这是成本极低、收益极高的生意。今后,政府需要更重视二维码和域名在停用之后被黑客利用的问题,建立到期提醒与统一注销机制,别让一面写着智慧城市的牌子,变成城市里随处可见的陷阱。

原文:https://www.sixthtone.com/news/1018752