趙乃育　繪

    《經濟參考報》記者日前在採訪中了解到，由于車企信息安全意識淡薄，對已知的網站漏洞長期不管不顧，任由車主資訊泄露，已對廣大購車消費者的安全造成巨大威脅。

　　車主資訊黑市標價　“每條1至5元”

　　記者通過補天平臺查閱得知，存在漏洞並可能産生大量車主個人隱私資訊泄露的，包括一汽豐田、長安汽車、上海大眾、捷豹等多家車企，同時還包括第一汽車資訊網、我愛汽車網等多家知名汽車網站。
　　在“白帽子”（網絡安全術語，指可以識別電腦係統或網絡係統中安全漏洞的人，但這類人不會惡意利用漏洞，而是發布漏洞資訊，幫助當事方及時修復漏洞）于補天平臺上提交的漏洞顯示，長安汽車某係統漏洞或將導致全國近千家代理商、百萬以上買家檔案資訊泄露；一汽豐田的漏洞則可能導致大量經銷商員工資訊和近10萬客戶資訊的泄露。
　　而這僅是冰山一角，記者同時從烏雲平臺處了解到，2011年至今，“白帽子”在烏雲平臺上共提交有關于車企網站的漏洞達58個，其中近一半的漏洞都可能造成網站用戶的資訊泄露，背後涉及到百萬車主的信息安全，但截至目前，包括凱迪拉克弱密碼、寶馬數據庫注冊漏洞和賓士越權漏洞依然存在，均有泄露大量用戶資訊的風險。
　　與此同時，在黑市上，車主個人隱私資訊倒賣已成為常態。《經濟參考報》記者了解到，一般而言，駭客“拿下”車企網站數據庫，再轉手交由數據販子以每條1至5元的價格倒賣，這其中包括車主個人姓名、電話、購買車型、訂單，甚至個人身份證號、住址等詳細資訊。令人擔憂的是，一旦這些數據落入買家手中，車主輕則會接到賣車或保險的推銷電話，重則可能遭遇保險詐騙，即以違章記錄的名頭騙取違約金等。

　　廠商“冷對”漏洞　車聯網潛藏巨大風險

　　值得注意的是，這些泛濫行業的漏洞並未引起車企重視，以“白帽子”提交的漏洞反饋情況來看，絕大多數顯示為“未聯繫到廠商或廠商積極忽略”。
　　記者採訪中了解到，隨著車聯網技術的快速發展和普及，通過入侵車聯網係統，盜取用戶資訊的現象日漸增多。由此，車企的安全漏洞不僅會造成用戶資訊泄露，更可能導致車輛被盜、危及行車安全等情況的發生。
　　360安全專家裴智勇在接受《經濟參考報》記者採訪時表示，從協助一些廠商進行的車聯網安全監測來看，目前車聯網係統普遍存在如下安全問題：
　　——登錄係統缺乏有效的鑒權管理，使得攻擊者可非法查看大量車主資訊，如車牌、發動機號、行駛裏程、聯繫方式等；
　　——車聯網係統存在漏洞，可能給車主本人帶來人身安全的威脅。如某些車聯網係統中，駭客可通過雲端伺服器向汽車發送指令，使汽車儀表盤顯示異常，引發車主在駕駛過程中的恐慌。在某些係統中，駭客還可通過伺服器向汽車下達剎車指令，從而在高速行駛中突然剎車，造成危險；
　　——某些車載係統存在安全漏洞，致使攻擊者可在沒有鑰匙的情況下，打開車門、開啟天窗，閃爍車燈，甚至發動汽車。同時一些智能車載係統，也可能被植入木馬程式，從而造成車主資訊泄露和駕駛的風險；
　　——目前一些智能汽車已可用手機進行遙控，若手機本身感染木馬病毒，則不僅可能造成車主資訊泄露，還可能使得汽車存在被盜風險。
　　裴智勇建議消費者，應加強個人資訊的保護意識，一旦發生買車後大量廣告資訊涌入，應及時向工商部門或消費者協會等組織舉報，也可通過安裝手機安全軟件來標記構成嚴重騷擾的電話號碼或將其加入黑名單。同時，在購車時，消費者應明確向銷售商要求不得向第三方轉讓其個人資訊，並可將相關要求寫入購車合同，從而在最大程度上維護自身合法權益。

　　法律存“空白”　應明確企業責任

　　2015年中消協發布的《2014年度消費者個人資訊網絡安全報告》顯示，網絡針對消費者個人資訊“竊取”和“非法使用”的黑色産業鏈呈現爆發性增長態勢。有2/3的消費者在接受調查時明確表示，過去一年內個人資訊曾被泄露或竊取。
　　當個人資訊被泄露或竊取後，八成受訪者受到廣告（電話、短信、郵件等形式）騷擾，大大妨礙了消費者的正常生活。浪費時間和精力、學習或工作受到影響的佔比也較多，分別為49.37%、34.94%，還有33.14%的受訪者遭受過經濟損失和人身傷害。
　　信息安全專家曹岳在接受《經濟參考報》記者採訪時表示，個人資訊作為一種虛擬財産主體，其泄漏毫無疑問會使消費者權益受損，例如經常會接到一些騷擾電話，但是否為企業對消費者權益造成的侵犯，還須進一步界定。
　　中消協副會長兼秘書長常宇表示，近來個人資訊泄露事件的頻發，對消費者造成了金融資産和個人信息安全等多方面的危害，消費者個人資訊保護面臨防范難、舉證難、索賠難等問題，須動員各方力量，盡快從制度建設、法律措施、企業責任、消費者自我防范等多方面築牢保護的藩籬。
　　記者注意到，目前對于個人資訊的法律保護仍處空白。據悉，我國最早的個人資訊立法程式始于2003年，國務院當年委託有關專家起草《個人資訊保護法》，2005年專家建議稿完成，並提交國務院審議。但自此之後該法律即停擺十年，再無下文。2012年12月28日，全國人大常委會通過《關于加強網絡資訊保護的決定》後，較為明確地為網絡個人資訊保護提供了法律依據，但也僅僅規定了主動侵權所應承擔的責任，並未規定被動侵權的部分。
　　一位專家表示，網站主動收集用戶資訊，並用于非法用途，肯定要承擔侵權責任，但如果網站被駭客攻破，造成用戶資訊泄露，則屬于過失泄露，其應承擔的責任很難界定。資訊泄露一旦發生，追責將很困難，由此應盡快確立責任人制度，明確企業責任，倒逼企業投入更多資金和精力在信息安全防護上。