滴滴Uber等存安全漏洞 專車用戶資訊淘寶出售
- 發佈時間:2015-07-01 09:25:06 來源:廣州日報 責任編輯:王磊
“坐專車”的時候,你的資訊有可能洩露。
滴滴、Uber等出行平臺,憑藉一天燒幾千萬美元的高姿態,受用戶追捧,讓司機們眼熱。然而,迅速聚集起來的大量用戶資訊更成為了不少駭客覬覦的“香餑餑”。
據悉,專車平臺迅速聚集起來的大量用戶資訊讓不少駭客覬覦。而網際網路漏洞曝光平臺近日提供的數據顯示,包括快的、滴滴、Uber等多個打車軟體存在安全漏洞,可能造成用戶敏感資訊洩露。
網店出售專車司機與用戶資訊?
日前,名為“小蛋卷家”的淘寶店舖就上架了標稱“uber用戶資訊”的商品,每份一元。隨後,該店舖被查封關閉。截至記者發稿前,淘寶方面表示:“一旦發現此類商品上架,會迅速進行下架處理”,但未對成交的具體資訊作出回應。
根據其他媒體報道,淘寶客服曾證實:該交易標稱是“北京、上海、廣州、深圳、杭州、成都、天津等地的用戶資訊”,包括用戶姓名、手機號碼、信用卡等,最終成交記錄為5筆,共27份商品被出售。
至記者截稿前,Uber方面未對此事作出回應。
不過,這並非Uber的用戶資訊第一次被傳洩露。Uber的數據隱私管理顧問Katherine在一份聲明中稱,公司在去年9月17日發現了疑似資訊洩露,因為其中一個數據庫出現了“成功解鎖”的狀態。經過進一步調查,確認一個匿名第三方組織在去年5月曾入侵數據庫。這個數據庫包含大約50000個過去和現任Uber司機的名字以及駕駛證號。
另有消息稱,早前,在網上有售Uber有效賬號,賬號售價為一美元或五美元。
應用不健全 可導致用戶資訊洩露
日前,根據網際網路漏洞曝光平臺提供的數據顯示,自2014年1月到2015年5月上旬,共發佈59個關於打車軟體的安全漏洞,涉及廠商多達9家,其中快的、滴滴、Uber等。據統計,快的打車被發佈的安全漏洞數最多,達19個(包括一號專車),一嗨租車和神州租車分別以12個、10個的漏洞數緊隨其後,滴滴打車漏洞數則為7個。
在漏洞類型方面,被直接標記為“敏感資訊洩露”或者“重要敏感資訊洩露”的漏洞有9個,可能會造成軟體用戶資訊泄漏的漏洞至少達25個。此前,快的就被曝出“在支付寶交易記錄中可以查看到你付款過的司機身份證號碼”的資訊泄漏問題。
據了解,註冊用戶時,平臺方會收集用戶的姓名、電子郵箱、國家、語言、密碼、行動電話號碼、IP地址、MAC地址等資訊,一些平臺還收集信用卡號、到期日和安全碼。專車平臺在提供服務、處理款項支付、進行數據庫管理、網頁分析及完善等過程中都會涉及相關資訊的傳輸和使用。雖然平臺方表示會採取“加密、防火牆和SSL(安全套接層協議),以及對數據存儲地的物理保護措施”,但一手機應用安全專家表示,專車App本身就擁有數據,但若伺服器或應用本身不夠健全,漏洞就會被人利用。
Uber在其官方平臺發佈的《隱私聲明》指出:“雖然加密技術是有效的,安全保障系統還是可被破解。我們無法保障數據庫的絕對安全,也無法保障您提供的資訊在網際網路上傳至我們時不會被截獲,用戶在向優步進行數據傳輸時的風險由用戶自行承擔。”
業內人士認為,面對平臺所謂的“免責”,消費者應儘量在安全的環境下進行資訊登記,保障自己的利益。
專家提醒消費者儘量選擇用戶數量多的平臺,並減少關聯微網志等個人資訊。
律師提醒:發生問題 向平臺追責
計程車公司須為營運的計程車購買責任保險,一旦發生交通安全事故,司機和乘客可以按照事故認定和保險理賠程式保障自身利益。不過,有消費者認為,“雖然平臺公司説買了保險,出了事情會賠,但感覺很困難”。由於專車是以“租賃車”的形式提供客運經營服務,因此一旦發生交通安全事故等,將面臨責任認定不清的問題,存在較大的法律風險。
廣東天穗律師事務所律師認為,法律上專車不屬於專車軟體公司,而屬於車主,但專車軟體服務商在交易上也有參與利益分配。因此,如果發生交通事故,乘客受到的損害在車輛所投保險無法賠付時,應當由專車軟體服務商及車主按照責任比例承擔連帶賠償責任。
律師提醒,乘坐專車時,一定要保留相應的訂單憑證及支付證明,同時記住車牌號。“如出現事故時司機‘跑路’,立即報警,委託律師找尋相應的車輛登記資訊,及時向保險公司或車主進行索賠維權。如挂靠的仲介公司或專車軟體服務商有參與利益分配,則也應承擔相應的賠償責任。”
對於“繞路”的問題,乘客可以撥打軟體平臺的客服熱線進行投訴和處理。對於使用沒有統一售後服務團隊的打車軟體而言,乘客將可能投訴無門。
另一方面,專車司機也緊張自身安全。面對第三方平臺,司機如何維護自己的利益?專家建議司機應掌握基本的逃生方法,最好在車內安裝快捷求救和報警按鈕。
同時建議司機購買人身安全險和相關配套保險。“即便拉客屬非法運營,也不能成為保險公司拒絕理賠的理由。”
E辣評
火爆專車應“共用責任”
不出意料,火爆的專車補貼競爭背後,又催生了買賣用戶資訊“刷單”搶補貼的“黑經濟”。專車用戶資訊成為“唐僧肉”,被各種電商網站、微信群、QQ群倒賣。估值高達500億美元的Uber今年將在中國市場投入70億元砸未來,與它“死磕”的滴滴快的的估值也超過120億美元。兩家公司估值的飆升,背後都是出門就App叫車的用戶的功勞。
資訊被倒賣,絕不只是Uber一家。詭異的是,Uber、滴滴等估值暴漲,依賴於“共用經濟”的網際網路+新模式,卻最終落入資訊洩露的舊模式的窠臼,這不能不説是Uber們的敗筆。如果用傳統的手段來解決問題,將事後監管責任丟給主管部委,顯然沒有新意。
現在的問題是,Uber們正在“耍賴”。在司乘糾紛中,專車App以“平臺方”之身超然事外,雖然在當下法律面前頗能鑽空子,但在網新模式創造新經濟的口號下,顯得虛偽。“名利我雙收,責任義務你去背”必然不可持續。
而一條可靠的路徑是,網際網路思維既然能創造“共用經濟”模式,且Uber們也正在享受由此帶來的紅利,那麼它們理應能內生出“共用責任”的模式,以技術、架構、大數據挖掘創新等為基礎,事前堵住資訊洩露的漏洞。為傳統行業提供新的服務思路和解決問題的能力,這應該成為專車經濟的重要衍生品,而不能遇見責任龜縮到傳統行業中來。