-
-
车企安全漏洞致大量车主信息泄露 车主直言:心慌慌
-
发表于:
2015-4-29 21:34
2206
-
新闻链接:http://news.163.com/15/0429/17/AOCTPA8100014JB5.html
新闻时间:2015 04 29
新闻正文:
央广网北京4月29日消息(记者唐明)据经济之声《天下公司》报道,国内互联网安全平台乌云网今天向《天下公司》爆料,大众、宝马、奥迪等多家知名汽车网站都存在安全漏洞,导致大量车主个人信息泄露。
乌云网负责人孟卓告诉《天下公司》,发现这样的漏洞是源于网上正在售卖的车主信息。
孟卓:这个漏洞是一个白帽子在2月份,看到有一个出售车主信息的网站。他这个网站什么时候开的我不知道,但是他这个网站号称从2010年到2015年,所有车主信息是持续更新的。
据了解,乌云网是4月28日接到白帽子报告,有人在网络上销售实时更新的车主数据,买主可以买到当天购车的车主信息。售卖者称“当天数据3块,本周2块,月内1块。如果要特定地区的4块一条,绝对的一手数据”。随后这位白帽子对其提供的数据做了初步验证后发现,这些信息大都来自车企和经销商。乌云网负责人孟卓告诉《天下公司》泄露信息的渠道主要是车企的官网和车载系统。
孟卓:有一部分来自经销商后台,像奔驰、宝马、大众这些,在乌云上,也是有一些报告的,有漏洞的泄露。还有一些,我们看到他的数据,可能来自于一些车载的数据,GPS、行车记录仪,这些销售商。
孟卓说,这些信息不仅包括身份证号码等个人隐私,甚至连购车时间、车牌号码等信息都有。
孟卓:这些信息我们是看了一下,白帽子也提供了他们在网上看到的截图。首先就是有车主姓名、身份证号码、家庭住址、什么时候买的车、车牌号是多少,还有就是这些车的品牌,是什么型号,她在哪里买的,在哪里买入的,这些都有。
记者在乌云平台上发现,这些车企包括宝马、奔驰、奥迪等多家知名厂商。其中宝马的漏洞是,宝马官网SQL盲注可导致用户信息泄漏,也就是说宝马官网在数据库查询上存在漏洞。同时一汽大众集团旗下的奥迪车友会网站也存在类似漏洞,甚至有白帽子给出了车友会的后台网址,并且给出了破解的用户名和密码,根据这些信息记者也进入到了奥迪车友会网站的后台,并且看到了部分注册用户信息包括姓名、电话、所在城市等信息。
更加不可思议的是,记者在没有任何授权的情况下,直接进入了一汽大众的试驾信息查询界面。在海量的用户信息里记者随机拨打了几位车主的电话,几位车主都表示自己确实登记过相关参加试驾的信息。
车主甲:好像有这么个事情,我爱人用我手机报过名。 车主乙:报过名,后来没去。
自评: 随着科技技术的发展 .各大互联网公司在争夺市场份额.殊不知伴随的安全问题也随着而来 ,国外的黑莓已经着手这方面的企业安全服务,国内的360等公司也是在招募网络安全专家....
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课