打车软件存信息泄露风险快的滴滴上榜

25.06.2015  12:38

    时下,打车软件因其快捷、便利而大受欢迎,但“火爆”背后存在的安全问题也逐渐暴露出来,用户的信息安全更是备受关注。

    互联网漏洞曝光平台——乌云网2015年5月向记者提供的数据显示,自2014年1月份到2015年5月上旬,共发布59个关于打车软件的安全漏洞,涉及厂商多达9家,其中快的、滴滴、Uber等行业领先企业赫然在列。

    高危漏洞频遭忽略

    在上述漏洞中,危害等级为“”的漏洞达33个,占比55.9%;中危漏洞14个,占23.7%;低危漏洞12个,占20.3%。其中,快的打车被发布的安全漏洞数最多,达19个(包括一号专车漏洞),一嗨租车和神州租车分别以12个、10个的漏洞数紧随其后,而滴滴打车漏洞数则为7个。

    在漏洞类型方面,被直接标记为“敏感信息泄露”或者“重要敏感信息泄露”的漏洞有9个,可能会造成软件用户信息泄露的漏洞至少达25个。

    360手机安全专家万仁国告诉记者,“打车软件本身是一个应用,会有一些数据,这些数据都是在服务器上会存在的。如果这个应用不够健全,存在的漏洞被人利用,导致拖库,可以拿到所有的数据。

    所谓“拖库”是指黑客入侵有价值的网络站点,把注册用户的资料数据库全部盗走的行为。乌云网核心白帽子“猪猪侠”认为,“软件用户信息泄露的根本原因是开发人员的安全意识不足。”他表示,大多数的漏洞在软件系统设计之初就可以避免,但由于部分开发人员不够重视,造成软件存在了漏洞,继而导致用户信息存在了被黑客拖库的可能性。

    令人更加不安的是,在被告知软件存在安全漏洞之后,依然有11个漏洞被相应厂商选择忽略。这一高危漏洞被发布者指出可能导致嘀嗒拼车用户的银行卡号、车主证件等信息外泄。

    “漏洞忽略与否取决于漏洞对业务的影响度。比如,漏洞本身危害是不是可以直接影响服务器,以及涉及的是否是核心数据等等。”易到用车一位不愿透露姓名的技术工程师向记者表示。

    被黑信息“用途”多

    自2014年年初快的、滴滴两款打车软件的“烧钱大战”之后,打车软件吸引了大批的注册用户。毫无疑问,这迅速聚集起来的大批量的用户信息自然成为了不少黑客觊觎的“香饽饽”。

    5月6日,北京青年报报道称在淘宝平台已有卖家开始公然出售Uber用户信息,包括用户姓名、手机号码、信用卡的信息。虽然在曝光后,该商品迅速被下架,Uber相关负责人也立马现身辟谣,但这仍然牵动了不少用户敏感的神经。

    淘宝网消费者客服人员查询后向记者证实,在2015年5月5日名为“小蛋卷家

    的淘宝店铺确实上架了“UBER用户信息”的商品,每份一元,最终成交记录为5笔,共27份商品被出售。

    对于卖家在淘宝上公开售卖用户信息的违规行为,该客服人员表示,卖家在申请该店铺的时候可能是以售卖其他正规商品的名义申请的,后来突然转换成出售用户信息,只能通过后续的审核进行跟进处理。

    “一旦数据库被拖库之后,相关信息被公开售卖是存在可能的。比如说信息里有一些车主信息,如果我是保险公司,我把这个信息买下来之后,我可以看看他的汽车保险状况。如果信息里还存在用户信用卡账号、有效期限等信息,一旦信息被黑,不法分子就能用这些信息做黑卡,进行盗刷。”万仁国表示。

    漏洞修复全赖程序员

    实际上,软件存在安全漏洞并不是值得大惊小怪的事情。

    安全顾问、游侠安全网站长张百川告诉记者,“软件有漏洞很正常,能不能及时修复才是关键,软件程序员有着不可推卸的责任,程序员如果重视安全工作,能够避免80%的漏洞,另外的20%,还是得靠程序员。

    当然,如果拥有用户信息的公司重视安全工作,能够避免大部分的漏洞,剩下的一些诟病可以通过安全管理来改善。比如,厂商在收到乌云网等平台反馈的漏洞之后能够及时进行修复,就是安全管理的一部分。

    “软件其实是动态的,系统也是动态的,没办法评判打车平台是不是一直安全。原来没有漏洞,软件更新了,说不定就产生漏洞了,所以说软件并没有绝对的安全。一般来说用户越多的平台相对而言安全性会更高一些。互联网免费,大家的选择有很多,用脚投票是最直接的。”万仁国最后对记者表示。  据《消费者报道