“一边整理车企的安全漏洞,一边觉得这可能真是个大事”。
2015年5月,互联网安全漏洞报告平台——乌云网合伙人邬迪告诉《消费者报道》记者,在重新评估因车企网站漏洞而涉及到的车主信息泄露时,他觉得“超出了自己的想象”。
其实想象已经部分变成现实。一方面,黑客“拿下”一个个车企网站数据库,再转手交由数据贩子以每条1至5块钱的价格倒卖。另一方面,车企信息安全意识淡薄,以至于对于已知的网站漏洞长期不管不顾,任由车主信息泄露。
雪铁龙车主信息泄露规模或超10万
“全国东风雪铁龙网站后台的售前信息我都有,还可以提供即时的”,一位网名叫做“猫哥”的黑客在网络上兜售车主信息。
为了证明所言非虚,“猫哥”提供了数据库截图。截图上显示了7个城市的15个订单信息,具体包括了车主姓名、手机号码、意向购车型号。下单时间 则集中在2015年5月4日晚8点以后,最新的订单信息则刚刚发生在5分钟之前。那么到底有多少条车主信息?黑客“猫哥”提供的数据截屏显示,其后还有 540676条信息。不过黑客向本刊记者解释,“54万条数据里重复的很多,不算重复的,有10万条售前信息”。
除几个没有拨通的电话外,经本刊记者随机电话确认,黑客提供的电话主人都是不久前购买过东风雪铁龙汽车的车主。
这可能只是冰山一角。黑客“猫哥”还向记者表示,凡是东风雪铁龙的潜在客户在易车网、汽车之家留下的订单和电话他也能查到。按照黑客提供的电话信息,一位接听电话的用户对记者表示,他刚在易车网的询价平台留下了自己的个人信息。
易车网技术人员则对《消费者报道》回应称,“易车网仅提供询价的平台入口,询价者的信息会直接发送给对应的品牌经销商,易车网不会做任何保存”。
即使是只有姓名、手机、城市和意向车款的询价信息,黑客“猫哥”已经要价一块钱一条,试驾者信息则开到了两块一条。“真正抢手的还不是售前数据,其他信息数据比较全的,一到手就被‘秒’了”。黑客“猫哥”表示。
东风雪铁龙官网的用户信息为何能轻易地就被盗走?
黑客“猫哥”给出的答案是 “太懒”。“东风雪铁龙基本不管自己的后台,这是能轻易拿下数据的主要原因”。他说。
2015年4月29日,曾有白帽子(不恶意利用安全漏洞的黑客)向乌云平台提交名为“东风雪铁龙某后台弱口令可导致全国几百个经销商账号与大量个人数据泄露”的漏洞。
对于这个漏洞,绿盟科技NSTRT团队负责人张佳发告诉本刊记者,如有攻击者登录后台,可以看到东风雪铁龙经销商全部的敏感数据,可导致全国几百个经销商账号与大量个人数据泄露。
“该漏洞没太多技术含量,非常容易被利用”。乌云网主站运营者孟卓告诉本刊记者,“一旦这些数据落入买家手上,很多车主可能会接到卖车或者保险的推销电话骚扰。还有更加恶劣的结果可能就是保险诈骗,即以违章记录的名头来骗取违约金”。
可就是这个“没有太多技术含量”的漏洞,直到2015年6月其状态仍然显示为“已经通知厂商但是厂商忽略漏洞”。
对此,东风雪铁龙公关公司——灵思公司公关梁婧回复本刊称,“东风雪铁龙明确不回应信息泄露的相关问题”。
奔驰宝马凯迪拉克官网漏洞两年不补
类似东风雪铁龙的这种“疏忽”,在一线车企中并不是孤例。
“我们发现很多车企不够重视自身的信息安全建设。从乌云白帽子提交的漏洞来看,很少有车企会在联系之后来认领,个别的甚至会主动忽略”,邬迪说。
2011年至今,白帽子在乌云平台上总共提交了有关于车企网站的58个漏洞。其中接近一半的漏洞都可能造成网站用户的信息泄露,背后涉及到百万车主的信息安全。而绝大多数漏洞状态,都是“未联系到厂商或者厂商积极忽略”。
上一篇:
下一篇: