10萬雪鐵龍車主信息或遭泄露
來源:消費者報道 作者:佚名 日期:2015年06月23日 字體大?。骸?a href="javascript:void(0)" onclick="doZoomFont(1)">大
中 小】
“一邊整理車企的安全漏洞,一邊覺得這可能真是個大事”。
2015年5月,互聯網安全漏洞報告平臺——烏云網合伙人鄔迪告訴《消費者報道》記者,在重新評估因車企網站漏洞而涉及到的車主信息泄露時,他覺得“超出了自己的想象”。
其實想象已經部分變成現實。一方面,黑客“拿下”一個個車企網站數據庫,再轉手交由數據販子以每條1至5塊錢的價格倒賣。另一方面,車企信息安全意識淡薄,以至于對于已知的網站漏洞長期不管不顧,任由車主信息泄露。
雪鐵龍車主信息泄露規?;虺?0萬
“全國東風雪鐵龍網站后臺的售前信息我都有,還可以提供即時的”,一位網名叫做“貓哥”的黑客在網絡上兜售車主信息。
為了證明所言非虛,“貓哥”提供了數據庫截圖。截圖上顯示了7個城市的15個訂單信息,具體包括了車主姓名、手機號碼、意向購車型號。下單時間則集中在2015年5月4日晚8點以后,最新的訂單信息則剛剛發生在5分鐘之前。那么到底有多少條車主信息?黑客“貓哥”提供的數據截屏顯示,其后還有540676條信息。不過黑客向本刊記者解釋,“54萬條數據里重復的很多,不算重復的,有10萬條售前信息”。
除幾個沒有撥通的電話外,經本刊記者隨機電話確認,黑客提供的電話主人都是不久前購買過東風雪鐵龍汽車的車主。
這可能只是冰山一角。黑客“貓哥”還向記者表示,凡是東風雪鐵龍的潛在客戶在易車網、汽車之家留下的訂單和電話他也能查到。按照黑客提供的電話信息,一位接聽電話的用戶對記者表示,他剛在易車網的詢價平臺留下了自己的個人信息。
易車網技術人員則對《消費者報道》回應稱,“易車網僅提供詢價的平臺入口,詢價者的信息會直接發送給對應的品牌經銷商,易車網不會做任何保存”。
即使是只有姓名、手機、城市和意向車款的詢價信息,黑客“貓哥”已經要價一塊錢一條,試駕者信息則開到了兩塊一條?!罢嬲龘屖值倪€不是售前數據,其他信息數據比較全的,一到手就被‘秒’了”。黑客“貓哥”表示。
東風雪鐵龍官網的用戶信息為何能輕易地就被盜走?
黑客“貓哥”給出的答案是 “太懶”?!皷|風雪鐵龍基本不管自己的后臺,這是能輕易拿下數據的主要原因”。他說。
2015年4月29日,曾有白帽子(不惡意利用安全漏洞的黑客)向烏云平臺提交名為“東風雪鐵龍某后臺弱口令可導致全國幾百個經銷商賬號與大量個人數據泄露”的漏洞。
對于這個漏洞,綠盟科技NSTRT團隊負責人張佳發告訴本刊記者,如有攻擊者登錄后臺,可以看到東風雪鐵龍經銷商全部的敏感數據,可導致全國幾百個經銷商賬號與大量個人數據泄露。
“該漏洞沒太多技術含量,非常容易被利用”。烏云網主站運營者孟卓告訴本刊記者,“一旦這些數據落入買家手上,很多車主可能會接到賣車或者保險的推銷電話騷擾。還有更加惡劣的結果可能就是保險詐騙,即以違章記錄的名頭來騙取違約金”。
可就是這個“沒有太多技術含量”的漏洞,直到2015年6月其狀態仍然顯示為“已經通知廠商但是廠商忽略漏洞”。
對此,東風雪鐵龍公關公司——靈思公司公關梁婧回復本刊稱,“東風雪鐵龍明確不回應信息泄露的相關問題”。
奔馳寶馬凱迪拉克官網漏洞兩年不補
類似東風雪鐵龍的這種“疏忽”,在一線車企中并不是孤例。
“我們發現很多車企不夠重視自身的信息安全建設。從烏云白帽子提交的漏洞來看,很少有車企會在聯系之后來認領,個別的甚至會主動忽略”,鄔迪說。
2011年至今,白帽子在烏云平臺上總共提交了有關于車企網站的58個漏洞。其中接近一半的漏洞都可能造成網站用戶的信息泄露,背后涉及到百萬車主的信息安全。而絕大多數漏洞狀態,都是“未聯系到廠商或者廠商積極忽略”。
[責任編輯:sasa]
發表評論(只顯示最新5條。評論內容只代表網友觀點,與本站(
都市風汽車網)立場無關?。?/div>