车企安全漏洞致大量车主信息泄露 车主直言:心慌慌-人间百态-社会频道-中工网

2015 年 5 月 31 日3330

  央广网北京4月29日消息(记者 唐明)据经济之声《天下公司》报道,国内互联网安全平台乌云网今天向《天下公司》爆料,大众、宝马、奥迪等多家知名汽车网站都存在安全漏洞,导致大量车主个人信息泄露。

  乌云网负责人孟卓告诉《天下公司》,发现这样的漏洞是源于网上正在售卖的车主信息。

  孟卓:这个漏洞是一个白帽子在2月份,看到有一个出售车主信息的网站。他这个网站什么时候开的我不知道,但是他这个网站号称从2010年到2015年,所有车主信息是持续更新的。

  据了解,乌云网是4月28日接到白帽子报告,有人在网络上销售实时更新的车主数据,买主可以买到当天购车的车主信息。售卖者称“当天数据3块,本周2块,月内1块。如果要特定地区的4块一条,绝对的一手数据”。随后这位白帽子对其提供的数据做了初步验证后发现,这些信息大都来自车企和经销商。乌云网负责人孟卓告诉《天下公司》泄露信息的渠道主要是车企的官网和车载系统。

  孟卓:有一部分来自经销商后台,像奔驰、宝马、大众这些,在乌云上,也是有一些报告的,有漏洞的泄露。还有一些,我们看到他的数据,可能来自于一些车载的数据,GPS、行车记录仪,这些销售商。

  孟卓说,这些信息不仅包括身份证号码等个人隐私,甚至连购车时间、车牌号码等信息都有。

  孟卓:这些信息我们是看了一下,白帽子也提供了他们在网上看到的截图。首先就是有车主姓名、身份证号码、家庭住址、什么时候买的车、车牌号是多少,还有就是这些车的品牌,是什么型号,她在哪里买的,在哪里买入的,这些都有。

  记者在乌云平台上发现,这些车企包括宝马、奔驰、奥迪等多家知名厂商。其中宝马的漏洞是,宝马官网SQL盲注可导致用户信息泄漏,也就是说宝马官网在数据库查询上存在漏洞。同时一汽大众集团旗下的奥迪车友会网站也存在类似漏洞,甚至有白帽子给出了车友会的后台网址,并且给出了破解的用户名和密码,根据这些信息记者也进入到了奥迪车友会网站的后台,并且看到了部分注册用户信息包括姓名、电话、所在城市等信息。

  更加不可思议的是,记者在没有任何授权的情况下,直接进入了一汽大众的试驾信息查询界面。在海量的用户信息里记者随机拨打了几位车主的电话,几位车主都表示自己确实登记过相关参加试驾的信息。

  车主甲:好像有这么个事情,我爱人用我手机报过名。

   车主乙:报过名,后来没去。

  有车主表示,这样的事情发生,感觉心里很慌。

  车主:这个就能删就删掉吧,尽量减少损失吧。就怕以后这个打电话、那个打电话问要不要买车,就很麻烦。

  记者与宝马、一汽大众等几家厂商联系,试图了解相关原因以及后续处理情况,但截至发稿时,对方电话一直无法接通。

  乌云网负责人孟卓表示,他们已经向这些厂商进行了反馈,但很多都没有得到相关的回复。

  孟卓:这个我们有进行过反馈,情况是这样的。有的厂商比较重视,他们就会进行整改。有的呢,就缺少这个互动,他们可能看到了,但是他没有反馈,不过这个问题,他可能最后还是会处理掉。

  记者在乌云网上看到,在一汽大众的漏洞上关于厂家的回复是:暂未建立与厂商的直接处置渠道;而在宝马的漏洞上关于厂家的回复是:未能联系到厂商或者厂商积极拒绝。

  孟卓说,其实车企是信息泄露的重灾区,但车企本身似乎对这方面并没有太多安全意识。

  孟卓:这个我们看在乌云上还是非常多的,比如行业的信息泄露,车载设备这些非常频繁。有的时候,一个月会受到好几个报告。

  孟卓提醒,这些信息的泄露很可能让车主成了骗子的猎物。

  孟卓:一种是很多车主可能会接到卖车或者保险的推销电话,还有一种就是保险诈骗。比如车主接到电话,他可以准确说出你的身份和车辆信息,可能会和你说你的车有违章记录,需要交违约金。你要交钱给某某,或者给一个电话,或者给你一个卡号,把这个违约金给充上。

0 0