2015年5月，網際網路安全漏洞報告平臺——烏雲網合夥人鄔迪告訴記者，在重新評估因車企網站漏洞而涉及到的車主資訊洩露時，他覺得“超出了自己的想像”。賓士寶馬凱迪拉克官網漏洞兩年不補類似東風雪鐵龍的這種“疏忽”，在一線車企中並不是孤例。

　　“一邊整理車企的安全漏洞，一邊覺得這可能真是個大事”。

　　2015年5月，網際網路安全漏洞報告平臺——烏雲網合夥人鄔迪告訴記者，在重新評估因車企網站漏洞而涉及到的車主資訊洩露時，他覺得“超出了自己的想像”。

　　其實想像已經部分變成現實。一方面，駭客“拿下”一個個車企網站數據庫，再轉手交由數據販子以每條1至5塊錢的價格倒賣。另一方面，車企資訊安全意識淡薄，以至於對於已知的網站漏洞長期不管不顧，任由車主資訊洩露。

　　雪鐵龍車主資訊洩露規模或超10萬

　　“全國東風雪鐵龍網站後臺的售前資訊我都有，還可以提供即時的”，一位網名叫做“貓哥”的駭客在網路上兜售車主資訊。

　　為了證明所言非虛，“貓哥”提供了數據庫截圖。截圖上顯示了7個城市的15個訂單資訊，具體包括了車主姓名、手機號碼、意向購車型號。下單時間則集中在2015年5月4日晚8點以後，最新的訂單資訊則剛剛發生在5分鐘之前。那麼到底有多少條車主資訊？駭客“貓哥”提供的數據截屏顯示，其後還有540676條資訊。不過駭客向本刊記者解釋，“54萬條數據裏重復的很多，不算重復的，有10萬條售前資訊”。

　　除幾個沒有撥通的電話外，經本刊記者隨機電話確認，駭客提供的電話主人都是不久前購買過東風雪鐵龍汽車的車主。

　　這可能只是冰山一角。駭客“貓哥”還向記者表示，凡是東風雪鐵龍的潛在客戶在易車網、汽車之家留下的訂單和電話他也能查到。按照駭客提供的電話資訊，一位接聽電話的用戶對記者表示，他剛在易車網的詢價平臺留下了自己的個人資訊。

　　易車網技術人員則對回應稱，“易車網僅提供詢價的平臺入口，詢價者的資訊會直接發送給對應的品牌經銷商，易車網不會做任何保存”。

　　即使是只有姓名、手機、城市和意向車款的詢價資訊，駭客“貓哥”已經要價一塊錢一條，試駕者資訊則開到了兩塊一條。“真正搶手的還不是售前數據，其他資訊數據比較全的，一到手就被‘秒’了”。駭客“貓哥”表示。

　　東風雪鐵龍官網的用戶資訊為何能輕易地就被盜走？

　　駭客“貓哥”給出的答案是“太懶”。“東風雪鐵龍基本不管自己的後臺，這是能輕易拿下數據的主要原因”。他説。

　　2015年4月29日，曾有白帽子(不惡意利用安全漏洞的駭客)向烏雲平臺提交名為“東風雪鐵龍某後臺弱密碼可導致全國幾百個經銷商賬號與大量個人數據洩露”的漏洞。

　　對於這個漏洞，綠盟科技NSTRT團隊負責人張佳發告訴本刊記者，如有攻擊者登錄後臺，可以看到東風雪鐵龍經銷商全部的敏感數據，可導致全國幾百個經銷商賬號與大量個人數據洩露。

　　“該漏洞沒太多技術含量，非常容易被利用”。烏雲網主站運營者孟卓告訴本刊記者，“一旦這些數據落入買家手上，很多車主可能會接到賣車或者保險的推銷電話騷擾。還有更加惡劣的結果可能就是保險詐騙，即以違章記錄的名頭來騙取違約金”。

　　可就是這個“沒有太多技術含量”的漏洞，直到2015年6月其狀態仍然顯示為“已經通知廠商但是廠商忽略漏洞”。

　　對此，東風雪鐵龍公關公司——靈思公司公關梁婧回復本刊稱，“東風雪鐵龍明確不回應資訊洩露的相關問題”。

　　賓士寶馬凱迪拉克官網漏洞兩年不補

　　類似東風雪鐵龍的這種“疏忽”，在一線車企中並不是孤例。

　　“我們發現很多車企不夠重視自身的資訊安全建設。從烏雲白帽子提交的漏洞來看，很少有車企會在聯繫之後來認領，個別的甚至會主動忽略”，鄔迪説。

　　2011年至今，白帽子在烏雲平臺上總共提交了有關於車企網站的58個漏洞。其中接近一半的漏洞都可能造成網站用戶的資訊洩露，背後涉及到百萬車主的資訊安全。而絕大多數漏洞狀態，都是“未聯繫到廠商或者廠商積極忽略”。

　　2013年6月，烏雲網ID為“愛上平頂山”的核心白帽子(平臺漏洞發現者)曾提交過凱迪拉克官網的後臺弱密碼問題。然而時隔近兩年後，他重新去查看漏洞，發現問題依然存在。

　　“按照專賣店乘以單數的演算法，後臺車主資訊的量級在20萬以上。網站洩露了經銷商的門店、賬號密碼等資訊，駭客如果用這些密碼登陸經銷商後臺，就可以拿到任意凱迪拉克車主的詳細個人資料。”他對記者表示

　　更嚴重的是，凱迪拉克官方網站已經被挂了“黑鏈”。“黑鏈”指的是web伺服器被駭客入侵拿下之後，?在網站首頁或者其他頁面嵌入惡意代碼。在“愛上平頂山”展示的一張Google搜索截圖上，凱迪拉克的官網確實被接入了“傳奇私服”的“黑鏈”。

　　“官網被挂黑鏈，也很有可能被挂木馬病毒。如果駭客是通過拿下shell，即拿下提供使用者使用頁面的命令解析器的渠道來挂黑鏈，那麼不僅僅所有用戶的數據庫，甚至是整個網站包括伺服器，甚至內網機器都不保了。” 張佳髮指出。

　　類似的問題也發生在寶馬和賓士的網站上。

　　經白帽子測試，2012年8月提交的寶馬數據庫註冊漏洞和2013年6月提交的賓士越權漏洞依然存在，均有洩露大量用戶資訊的風險。

　　梅賽德斯-賓士公關吳遜蕾回應本刊稱，賓士公司暫時不方便回復資訊洩露的問題，“但賓士公司始終以客戶滿意度為中心，全力保障客戶的各方面安全。”

　　“目前汽車這個行業沒有較成熟的網路安全管理體系，運營和行政人員的安全素質都有待提高，很多車企網站是外包給第三方公司開發的，沒有交付資訊安全公司進行評估，就有可能留下資訊安全風險。”張佳發最後指出。