百万车主信息或遭泄露 多家知名车企齐中枪

03.07.2015  13:53

经济参考报》记者日前在采访中了解到,由于车企信息安全意识淡薄,对已知的网站漏洞长期不管不顾,任由车主信息泄露,已对广大购车消费者的安全造成巨大威胁。

车主信息黑市标价“每条1至5元

记者通过补天平台查阅得知,存在漏洞并可能产生大量车主个人隐私信息泄露的,包括一汽丰田、长安汽车、上海大众、捷豹等多家车企,同时还包括第一汽车资讯网、我爱汽车网等多家知名汽车网站。

在“白帽子”(网络安全术语,指可以识别计算机系统或网络系统中安全漏洞的人,但这类人不会恶意利用漏洞,而是发布漏洞信息,帮助当事方及时修复漏洞)于补天平台上提交的漏洞显示,长安汽车某系统漏洞或将导致全国近千家代理商、百万以上买家档案信息泄露;一汽丰田的漏洞则可能导致大量经销商员工信息和近10万客户信息的泄露。

而这仅是冰山一角,记者同时从乌云平台处了解到,2011年至今,“白帽子”在乌云平台上共提交有关于车企网站的漏洞达58个,其中近一半的漏洞都可能造成网站用户的信息泄露,背后涉及到百万车主的信息安全,但截至目前,包括凯迪拉克弱口令、宝马数据库注册漏洞和奔驰越权漏洞依然存在,均有泄露大量用户信息的风险。

与此同时,在黑市上,车主个人隐私信息倒卖已成为常态。《经济参考报》记者了解到,一般而言,黑客“拿下”车企网站数据库,再转手交由数据贩子以每条1至5元的价格倒卖,这其中包括车主个人姓名、电话、购买车型、订单,甚至个人身份证号、住址等详细信息。令人担忧的是,一旦这些数据落入买家手中,车主轻则会接到卖车或保险的推销电话,重则可能遭遇保险诈骗,即以违章记录的名头骗取违约金等。

厂商“冷对”漏洞车联网潜藏巨大风险

值得注意的是,这些泛滥行业的漏洞并未引起车企重视,以“白帽子”提交的漏洞反馈情况来看,绝大多数显示为“未联系到厂商或厂商积极忽略”。

记者采访中了解到,随着车联网技术的快速发展和普及,通过入侵车联网系统,盗取用户信息的现象日渐增多。由此,车企的安全漏洞不仅会造成用户信息泄露,更可能导致车辆被盗、危及行车安全等情况的发生。

360安全专家裴智勇在接受《经济参考报》记者采访时表示,从协助一些厂商进行的车联网安全监测来看,目前车联网系统普遍存在如下安全问题:

——登录系统缺乏有效的鉴权管理,使得攻击者可非法查看大量车主信息,如车牌、发动机号、行驶里程、联系方式等;

——车联网系统存在漏洞,可能给车主本人带来人身安全的威胁。如某些车联网系统中,黑客可通过云端服务器向汽车发送指令,使汽车仪表盘显示异常,引发车主在驾驶过程中的恐慌。在某些系统中,黑客还可通过服务器向汽车下达刹车指令,从而在高速行驶中突然刹车,造成危险;

——某些车载系统存在安全漏洞,致使攻击者可在没有钥匙的情况下,打开车门、开启天窗,闪烁车灯,甚至发动汽车。同时一些智能车载系统,也可能被植入木马程序,从而造成车主信息泄露和驾驶的风险;

——目前一些智能汽车已可用手机进行遥控,若手机本身感染木马病毒,则不仅可能造成车主信息泄露,还可能使得汽车存在被盗风险。

裴智勇建议消费者,应加强个人信息的保护意识,一旦发生买车后大量广告信息涌入,应及时向工商部门或消费者协会等组织举报,也可通过安装手机安全软件来标记构成严重骚扰的电话号码或将其加入黑名单。同时,在购车时,消费者应明确向销售商要求不得向第三方转让其个人信息,并可将相关要求写入购车合同,从而在最大程度上维护自身合法权益。

法律存“空白”应明确企业责任

2015年中消协发布的《2014年度消费者个人信息网络安全报告》显示,网络针对消费者个人信息“窃取”和“非法使用”的黑色产业链呈现爆发性增长态势。有2/3的消费者在接受调查时明确表示,过去一年内个人信息曾被泄露或窃取。

当个人信息被泄露或窃取后,八成受访者受到广告(电话、短信、邮件等形式)骚扰,大大妨碍了消费者的正常生活。浪费时间和精力、学习或工作受到影响的占比也较多,分别为49.37%、34.94%,还有33.14%的受访者遭受过经济损失和人身伤害。

信息安全专家曹岳在接受《经济参考报》记者采访时表示,个人信息作为一种虚拟财产主体,其泄漏毫无疑问会使消费者权益受损,例如经常会接到一些骚扰电话,但是否为企业对消费者权益造成的侵犯,还须进一步界定。

中消协副会长兼秘书长常宇表示,近来个人信息泄露事件的频发,对消费者造成了金融资产和个人信息安全等多方面的危害,消费者个人信息保护面临防范难、举证难、索赔难等问题,须动员各方力量,尽快从制度建设、法律措施、企业责任、消费者自我防范等多方面筑牢保护的藩篱。

记者注意到,目前对于个人信息的法律保护仍处空白。据悉,我国最早的个人信息立法程序始于2003年,国务院当年委托有关专家起草《个人信息保护法》,2005年专家建议稿完成,并提交国务院审议。但自此之后该法律即停摆十年,再无下文。2012年12月28日,全国人大常委会通过《关于加强网络信息保护的决定》后,较为明确地为网络个人信息保护提供了法律依据,但也仅仅规定了主动侵权所应承担的责任,并未规定被动侵权的部分。

一位专家表示,网站主动收集用户信息,并用于非法用途,肯定要承担侵权责任,但如果网站被黑客攻破,造成用户信息泄露,则属于过失泄露,其应承担的责任很难界定。信息泄露一旦发生,追责将很困难,由此应尽快确立责任人制度,明确企业责任,倒逼企业投入更多资金和精力在信息安全防护上。记者 杨烨 林远