欧美日韩一卡2卡三卡4卡 乱码欧美孕交-国产男小鲜肉同志免费-国产ww久久久久久久久久-久久久久久久性潮

多款打車軟件存信息泄露風(fēng)險(xiǎn) 快的滴滴上榜

大交通 本文作者:執(zhí)惠旅游 2015-06-24
時下,打車軟件因其快捷、便利而大受歡迎,但“火爆”背后存在的安全問題也逐漸暴露出來,用戶的信息安全更是備受關(guān)注。

互聯(lián)網(wǎng)漏洞曝光平臺——烏云網(wǎng)2015年5月向《消費(fèi)者報(bào)道》提供的數(shù)據(jù)顯示,自2014年1月份到2015年5月上旬,共發(fā)布59個關(guān)于打車軟件的安全漏洞,涉及廠商多達(dá)9家,其中快的、滴滴、Uber等行業(yè)領(lǐng)先企業(yè)赫然在列。

高危漏洞頻遭忽略

在上述漏洞中,危害等級為“高”的漏洞達(dá)33個,占比55.9%;中危漏洞14個,占23.7%;低危漏洞 12個,占20.3%。其中,快的打車被發(fā)布的安全漏洞數(shù)最多,達(dá)19個(包括一號專車漏洞),一嗨租車和神州租車分別以12個、10個的漏洞數(shù)緊隨其 后,而滴滴打車漏洞數(shù)則為7個。(如圖)

在漏洞類型方面,被直接標(biāo)記為“敏感信息泄露”或者“重要敏感信息泄露”的漏洞有9個,可能會造成軟件用戶信息泄露的漏洞至少達(dá)25個。

360手機(jī)安全專家萬仁國告訴《消費(fèi)者報(bào)道》記者,“打車軟件本身是一個應(yīng)用,會有一些數(shù)據(jù),這些數(shù)據(jù)都是在服務(wù)器上會存在的。如果這個應(yīng)用不夠健全,存在的漏洞被人利用,導(dǎo)致拖庫,可以拿到所有的數(shù)據(jù)?!?/p>

所謂“拖庫”是指黑客入侵有價(jià)值的網(wǎng)絡(luò)站點(diǎn),把注冊用戶的資料數(shù)據(jù)庫全部盜走的行為。烏云網(wǎng)核心白帽子“豬豬俠”認(rèn)為,“軟件用戶信息泄露的根 本原因是開發(fā)人員的安全意識不足。”他表示,大多數(shù)的漏洞在軟件系統(tǒng)設(shè)計(jì)之初就可以避免,但由于部分開發(fā)人員不夠重視,造成軟件存在了漏洞,繼而導(dǎo)致用戶 信息存在了被黑客拖庫的可能性。

令人更加不安的是,在被告知軟件存在安全漏洞之后,依然有11個漏洞被相應(yīng)廠商選擇忽略。其中,嘀嗒拼車的5個安全漏洞全部被忽略,包括了在今年3月份有白帽子發(fā)布的“嘀嗒拼車SQL注入泄露用戶敏感信息(包括車主證件, 銀行卡號等)”的漏洞。

SQL注入可以通過在Web表單中輸入(惡意)SQL語句,得到一個存在安全漏洞的網(wǎng)站上的數(shù)據(jù)庫。這一高危漏洞被發(fā)布者指出可能導(dǎo)致嘀嗒拼車用戶的銀行卡號、車主證件等信息外泄。然而這條漏洞顯示的狀態(tài)卻是“已經(jīng)通知廠商但廠商忽略漏洞”。

“漏洞忽略與否取決于漏洞對業(yè)務(wù)的影響度。比如,漏洞本身危害是不是可以直接影響服務(wù)器,以及涉及的是否是核心數(shù)據(jù)等等。”易到用車一位不愿透露姓名的技術(shù)工程師向本刊記者表示。

被黑信息“用途”多

自2014年年初快的、滴滴兩款打車軟件的“燒錢大戰(zhàn)”之后,打車軟件吸引了大批的注冊用戶。毫無疑問,這迅速聚集起來的大批量的用戶信息自然成為了不少黑客覬覦的“香餑餑”。

5月6日,北京青年報(bào)報(bào)道稱在淘寶平臺已有賣家開始公然出售Uber用戶信息,包括用戶姓名、手機(jī)號碼、信用卡的信息。雖然在曝光后,該商品迅速被下架,Uber相關(guān)負(fù)責(zé)人也立馬現(xiàn)身辟謠,但這仍然牽動了不少用戶敏感的神經(jīng)。

淘寶網(wǎng)消費(fèi)者客服人員查詢后向《消費(fèi)者報(bào)道》記者證實(shí),在2015年5月5日名為“小蛋卷家”的淘寶店鋪確實(shí)上架了“UBER用戶信息”的商品,每份一元,最終成交記錄為5筆,共27份商品被出售。

對于賣家在淘寶上公開售賣用戶信息的違規(guī)行為,該客服人員表示,賣家在申請?jiān)摰赇伒臅r候可能是以售賣其他正規(guī)商品的名義申請的,后來突然轉(zhuǎn)換成出售用戶信息,只能通過后續(xù)的審核進(jìn)行跟進(jìn)處理。

“一旦數(shù)據(jù)庫被拖庫之后,相關(guān)信息被公開售賣是存在可能的。比如說信息里有一些車主信息,如果我是保險(xiǎn)公司,我把這個信息買下來之后,我可以看 看他的汽車保險(xiǎn)狀況。如果信息里還存在用戶信用卡賬號、有效期限等信息,一旦信息被黑,不法分子就能用這些信息做黑卡,進(jìn)行盜刷?!?萬仁國表示。

信息被黑出去之后除了拿去賣,還可以用來撞庫?!耙话愣院芏嗳说馁~號跟密碼用的都是同一個。如果我有了一個人打車軟件的賬號密碼,可以用它嘗試登陸這個人的支付寶、微信等等,一旦成功了,我就可以把賬號里的錢進(jìn)行轉(zhuǎn)賬和消費(fèi)?!?萬仁國充道。

漏洞修復(fù)全賴程序員

實(shí)際上,軟件存在安全漏洞并不是值得大驚小怪的事情。

安全顧問、游俠安全網(wǎng)站長張百川告訴記者,“軟件有漏洞很正常,能不能及時修復(fù)才是關(guān)鍵,軟件程序員有著不可推卸的責(zé)任,程序員如果重視安全工作,能夠避免80%的漏洞,另外的20%,還是得靠程序員?!?/p>

當(dāng)然,如果擁有用戶信息的公司重視安全工作,能夠避免大部分的漏洞,剩下的一些詬病可以通過安全管理來改善。比如,廠商在收到烏云網(wǎng)等平臺反饋的漏洞之后能夠及時進(jìn)行修復(fù),就是安全管理的一部分。

有3個安全漏洞被“發(fā)現(xiàn)”的易到用車相關(guān)負(fù)責(zé)人向本刊回應(yīng)稱,“已有專業(yè)的安全人員去做一些安全工作,敏感數(shù)據(jù)的存儲都采取加密的方式。針對被發(fā)布的三個安全漏洞,易到用車已經(jīng)在第一時間處理,涉及數(shù)據(jù)是部分業(yè)務(wù)的數(shù)據(jù)”。

“軟件其實(shí)是動態(tài)的,系統(tǒng)也是動態(tài)的,沒辦法評判打車平臺是不是一直安全。原來沒有漏洞,軟件更新了,說不定就產(chǎn)生漏洞了,所以說軟件并沒有絕 對的安全。一般來說用戶越多的平臺相對而言安全性會更高一些。互聯(lián)網(wǎng)免費(fèi),大家的選擇有很多,用腳投票是最直接的。” 萬仁國最后對記者表示。


版權(quán)聲明
執(zhí)惠本著「干貨、深度、角度、客觀」的原則發(fā)布行業(yè)深度文章。如果您想第一時間獲取旅游大消費(fèi)行業(yè)重量級文章或與執(zhí)惠互動,請?jiān)谖⑿殴娞栔兴阉鳌笀?zhí)惠」并添加關(guān)注。歡迎投稿,共同推動中國旅游大消費(fèi)產(chǎn)業(yè)鏈升級。投稿或?qū)で髨?bào)道請發(fā)郵件至執(zhí)惠編輯部郵箱zjz@tripvivid.com,審閱通過后文章將以最快速度發(fā)布并會附上您的姓名及單位。執(zhí)惠發(fā)布的文章僅代表作者個人看法,不代表執(zhí)惠觀點(diǎn)。關(guān)于投融資信息,執(zhí)惠旅游會盡量核實(shí),不為投融資行為做任何背書。執(zhí)惠尊重行業(yè)規(guī)范,轉(zhuǎn)載都注明作者和來源,特別提醒,如果文章轉(zhuǎn)載涉及版權(quán)問題,請您及時和我們聯(lián)系刪除。執(zhí)惠的原創(chuàng)文章亦歡迎轉(zhuǎn)載,但請務(wù)必注明作者和「來源:執(zhí)惠」,任何不尊重原創(chuàng)的行為都將受到嚴(yán)厲追責(zé)。
本文來源消費(fèi)者報(bào)道,版權(quán)歸原作者所有。
發(fā)表評論
后發(fā)表評論
最新文章
查看更多
# 熱搜詞 #

新用戶登錄后自動創(chuàng)建賬號

登錄表示你已閱讀并同意《執(zhí)惠用戶協(xié)議》 注冊

找回密碼

注冊賬號