百萬車主信息或遭泄露 被倒賣"每條1~5元"
一汽豐田、寶馬、奔馳等知名車企齊中槍
2015-07-03    作者:記者 楊燁 林遠/北京報道    來源:經濟參考報
分享到:
【字號

趙乃育 繪
    《經濟參考報》記者日前在採訪中了解到,由于車企信息安全意識淡薄,對已知的網站漏洞長期不管不顧,任由車主信息泄露,已對廣大購車消費者的安全造成巨大威脅。

  車主信息黑市標價 “每條1至5元”

  記者通過補天平臺查閱得知,存在漏洞並可能産生大量車主個人隱私信息泄露的,包括一汽豐田、長安汽車、上海大眾、捷豹等多家車企,同時還包括第一汽車資訊網、我愛汽車網等多家知名汽車網站。
  在“白帽子”(網絡安全術語,指可以識別計算機係統或網絡係統中安全漏洞的人,但這類人不會惡意利用漏洞,而是發布漏洞信息,幫助當事方及時修復漏洞)于補天平臺上提交的漏洞顯示,長安汽車某係統漏洞或將導致全國近千家代理商、百萬以上買家檔案信息泄露;一汽豐田的漏洞則可能導致大量經銷商員工信息和近10萬客戶信息的泄露。
  而這僅是冰山一角,記者同時從烏雲平臺處了解到,2011年至今,“白帽子”在烏雲平臺上共提交有關于車企網站的漏洞達58個,其中近一半的漏洞都可能造成網站用戶的信息泄露,背後涉及到百萬車主的信息安全,但截至目前,包括凱迪拉克弱口令、寶馬數據庫注冊漏洞和奔馳越權漏洞依然存在,均有泄露大量用戶信息的風險。
  與此同時,在黑市上,車主個人隱私信息倒賣已成為常態。《經濟參考報》記者了解到,一般而言,黑客“拿下”車企網站數據庫,再轉手交由數據販子以每條1至5元的價格倒賣,這其中包括車主個人姓名、電話、購買車型、訂單,甚至個人身份證號、住址等詳細信息。令人擔憂的是,一旦這些數據落入買家手中,車主輕則會接到賣車或保險的推銷電話,重則可能遭遇保險詐騙,即以違章記錄的名頭騙取違約金等。

  廠商“冷對”漏洞 車聯網潛藏巨大風險

  值得注意的是,這些泛濫行業的漏洞並未引起車企重視,以“白帽子”提交的漏洞反饋情況來看,絕大多數顯示為“未聯係到廠商或廠商積極忽略”。
  記者採訪中了解到,隨著車聯網技術的快速發展和普及,通過入侵車聯網係統,盜取用戶信息的現象日漸增多。由此,車企的安全漏洞不僅會造成用戶信息泄露,更可能導致車輛被盜、危及行車安全等情況的發生。
  360安全專家裴智勇在接受《經濟參考報》記者採訪時表示,從協助一些廠商進行的車聯網安全監測來看,目前車聯網係統普遍存在如下安全問題:
  ——登錄係統缺乏有效的鑒權管理,使得攻擊者可非法查看大量車主信息,如車牌、發動機號、行駛裏程、聯係方式等;
  ——車聯網係統存在漏洞,可能給車主本人帶來人身安全的威脅。如某些車聯網係統中,黑客可通過雲端服務器向汽車發送指令,使汽車儀表盤顯示異常,引發車主在駕駛過程中的恐慌。在某些係統中,黑客還可通過服務器向汽車下達剎車指令,從而在高速行駛中突然剎車,造成危險;
  ——某些車載係統存在安全漏洞,致使攻擊者可在沒有鑰匙的情況下,打開車門、開啟天窗,閃爍車燈,甚至發動汽車。同時一些智能車載係統,也可能被植入木馬程序,從而造成車主信息泄露和駕駛的風險;
  ——目前一些智能汽車已可用手機進行遙控,若手機本身感染木馬病毒,則不僅可能造成車主信息泄露,還可能使得汽車存在被盜風險。
  裴智勇建議消費者,應加強個人信息的保護意識,一旦發生買車後大量廣告信息涌入,應及時向工商部門或消費者協會等組織舉報,也可通過安裝手機安全軟件來標記構成嚴重騷擾的電話號碼或將其加入黑名單。同時,在購車時,消費者應明確向銷售商要求不得向第三方轉讓其個人信息,並可將相關要求寫入購車合同,從而在最大程度上維護自身合法權益。

  法律存“空白” 應明確企業責任

  2015年中消協發布的《2014年度消費者個人信息網絡安全報告》顯示,網絡針對消費者個人信息“竊取”和“非法使用”的黑色産業鏈呈現爆發性增長態勢。有2/3的消費者在接受調查時明確表示,過去一年內個人信息曾被泄露或竊取。
  當個人信息被泄露或竊取後,八成受訪者受到廣告(電話、短信、郵件等形式)騷擾,大大妨礙了消費者的正常生活。浪費時間和精力、學習或工作受到影響的佔比也較多,分別為49.37%、34.94%,還有33.14%的受訪者遭受過經濟損失和人身傷害。
  信息安全專家曹岳在接受《經濟參考報》記者採訪時表示,個人信息作為一種虛擬財産主體,其泄漏毫無疑問會使消費者權益受損,例如經常會接到一些騷擾電話,但是否為企業對消費者權益造成的侵犯,還須進一步界定。
  中消協副會長兼秘書長常宇表示,近來個人信息泄露事件的頻發,對消費者造成了金融資産和個人信息安全等多方面的危害,消費者個人信息保護面臨防范難、舉證難、索賠難等問題,須動員各方力量,盡快從制度建設、法律措施、企業責任、消費者自我防范等多方面築牢保護的藩籬。
  記者注意到,目前對于個人信息的法律保護仍處空白。據悉,我國最早的個人信息立法程序始于2003年,國務院當年委托有關專家起草《個人信息保護法》,2005年專家建議稿完成,並提交國務院審議。但自此之後該法律即停擺十年,再無下文。2012年12月28日,全國人大常委會通過《關于加強網絡信息保護的決定》後,較為明確地為網絡個人信息保護提供了法律依據,但也僅僅規定了主動侵權所應承擔的責任,並未規定被動侵權的部分。
  一位專家表示,網站主動收集用戶信息,並用于非法用途,肯定要承擔侵權責任,但如果網站被黑客攻破,造成用戶信息泄露,則屬于過失泄露,其應承擔的責任很難界定。信息泄露一旦發生,追責將很困難,由此應盡快確立責任人制度,明確企業責任,倒逼企業投入更多資金和精力在信息安全防護上。

  凡標注來源為“經濟參考報”或“經濟參考網”的所有文字、圖片、音視頻稿件,及電子雜志等數字媒體産品,版權均屬經濟參考報社,未經經濟參考報社書面授權,不得以任何形式刊載、播放。
 
集成閱讀:
信息狂歡的背後
應嚴厲刑罰坐吃內幕信息的“股神”
[每周3•15]10萬雪鐵龍車主信息或遭泄露
[政府採購論談]電子政務“專有雲”應重視信息安全
[供應商信息]服務成計算機批量集採競爭關鍵
 
頻道精選:
【思想】“慢牛”的前提 2013-06-14
【讀書】世界貧富根源解析指南 2015-07-01
【財智】多券商交易係統故障 凸顯服務管理不足 2014-12-05
【深度】鬧劇淪為悲劇 希臘債務危局難解 2015-07-03
 
關于我們 | 版權聲明 | 聯係我們 | 媒體刊例 | 友情鏈接
經濟參考報社版權所有 本站所有新聞內容未經經濟參考報協議授權,禁止轉載使用
新聞線索提供熱線:010-63074375 63072334 報社地址:北京市宣武門西大街57號
JJCKB.CN 京ICP證12028708號