 |
| 趙乃育 繪 |
《經(jīng)濟參考報》記者日前在采訪中了解到,由于車企信息安全意識淡薄,,對已知的網(wǎng)站漏洞長期不管不顧,,任由車主信息泄露,已對廣大購車消費者的安全造成巨大威脅。
車主信息黑市標價 “每條1至5元”
記者通過補天平臺查閱得知,,存在漏洞并可能產(chǎn)生大量車主個人隱私信息泄露的,,包括一汽豐田、長安汽車,、上海大眾,、捷豹等多家車企,同時還包括第一汽車資訊網(wǎng),、我愛汽車網(wǎng)等多家知名汽車網(wǎng)站,。
在“白帽子”(網(wǎng)絡安全術語,指可以識別計算機系統(tǒng)或網(wǎng)絡系統(tǒng)中安全漏洞的人,,但這類人不會惡意利用漏洞,,而是發(fā)布漏洞信息,幫助當事方及時修復漏洞)于補天平臺上提交的漏洞顯示,,長安汽車某系統(tǒng)漏洞或?qū)е氯珖Ъ掖砩�,、百萬以上買家檔案信息泄露;一汽豐田的漏洞則可能導致大量經(jīng)銷商員工信息和近10萬客戶信息的泄露,。
而這僅是冰山一角,,記者同時從烏云平臺處了解到,2011年至今,,“白帽子”在烏云平臺上共提交有關于車企網(wǎng)站的漏洞達58個,,其中近一半的漏洞都可能造成網(wǎng)站用戶的信息泄露,背后涉及到百萬車主的信息安全,,但截至目前,包括凱迪拉克弱口令,、寶馬數(shù)據(jù)庫注冊漏洞和奔馳越權(quán)漏洞依然存在,,均有泄露大量用戶信息的風險。
與此同時,,在黑市上,,車主個人隱私信息倒賣已成為常態(tài)�,!督�(jīng)濟參考報》記者了解到,,一般而言,黑客“拿下”車企網(wǎng)站數(shù)據(jù)庫,,再轉(zhuǎn)手交由數(shù)據(jù)販子以每條1至5元的價格倒賣,,這其中包括車主個人姓名、電話,、購買車型,、訂單,甚至個人身份證號,、住址等詳細信息,。令人擔憂的是,,一旦這些數(shù)據(jù)落入買家手中,車主輕則會接到賣車或保險的推銷電話,,重則可能遭遇保險詐騙,,即以違章記錄的名頭騙取違約金等。
廠商“冷對”漏洞 車聯(lián)網(wǎng)潛藏巨大風險
值得注意的是,,這些泛濫行業(yè)的漏洞并未引起車企重視,,以“白帽子”提交的漏洞反饋情況來看,絕大多數(shù)顯示為“未聯(lián)系到廠商或廠商積極忽略”,。
記者采訪中了解到,,隨著車聯(lián)網(wǎng)技術的快速發(fā)展和普及,通過入侵車聯(lián)網(wǎng)系統(tǒng),,盜取用戶信息的現(xiàn)象日漸增多,。由此,車企的安全漏洞不僅會造成用戶信息泄露,,更可能導致車輛被盜,、危及行車安全等情況的發(fā)生。
360安全專家裴智勇在接受《經(jīng)濟參考報》記者采訪時表示,,從協(xié)助一些廠商進行的車聯(lián)網(wǎng)安全監(jiān)測來看,,目前車聯(lián)網(wǎng)系統(tǒng)普遍存在如下安全問題:
——登錄系統(tǒng)缺乏有效的鑒權(quán)管理,使得攻擊者可非法查看大量車主信息,,如車牌,、發(fā)動機號、行駛里程,、聯(lián)系方式等,;
——車聯(lián)網(wǎng)系統(tǒng)存在漏洞,可能給車主本人帶來人身安全的威脅,。如某些車聯(lián)網(wǎng)系統(tǒng)中,,黑客可通過云端服務器向汽車發(fā)送指令,使汽車儀表盤顯示異常,,引發(fā)車主在駕駛過程中的恐慌,。在某些系統(tǒng)中,黑客還可通過服務器向汽車下達剎車指令,,從而在高速行駛中突然剎車,,造成危險;
——某些車載系統(tǒng)存在安全漏洞,,致使攻擊者可在沒有鑰匙的情況下,,打開車門、開啟天窗,閃爍車燈,,甚至發(fā)動汽車,。同時一些智能車載系統(tǒng),也可能被植入木馬程序,,從而造成車主信息泄露和駕駛的風險,;
——目前一些智能汽車已可用手機進行遙控,若手機本身感染木馬病毒,,則不僅可能造成車主信息泄露,,還可能使得汽車存在被盜風險。
裴智勇建議消費者,,應加強個人信息的保護意識,,一旦發(fā)生買車后大量廣告信息涌入,應及時向工商部門或消費者協(xié)會等組織舉報,,也可通過安裝手機安全軟件來標記構(gòu)成嚴重騷擾的電話號碼或?qū)⑵浼尤牒诿麊�,。同時,在購車時,,消費者應明確向銷售商要求不得向第三方轉(zhuǎn)讓其個人信息,,并可將相關要求寫入購車合同,從而在最大程度上維護自身合法權(quán)益,。
法律存“空白” 應明確企業(yè)責任
2015年中消協(xié)發(fā)布的《2014年度消費者個人信息網(wǎng)絡安全報告》顯示,,網(wǎng)絡針對消費者個人信息“竊取”和“非法使用”的黑色產(chǎn)業(yè)鏈呈現(xiàn)爆發(fā)性增長態(tài)勢。有2/3的消費者在接受調(diào)查時明確表示,,過去一年內(nèi)個人信息曾被泄露或竊取,。
當個人信息被泄露或竊取后,八成受訪者受到廣告(電話,、短信,、郵件等形式)騷擾,大大妨礙了消費者的正常生活,。浪費時間和精力、學習或工作受到影響的占比也較多,,分別為49.37%,、34.94%,還有33.14%的受訪者遭受過經(jīng)濟損失和人身傷害,。
信息安全專家曹岳在接受《經(jīng)濟參考報》記者采訪時表示,,個人信息作為一種虛擬財產(chǎn)主體,其泄漏毫無疑問會使消費者權(quán)益受損,,例如經(jīng)常會接到一些騷擾電話,,但是否為企業(yè)對消費者權(quán)益造成的侵犯,還須進一步界定。
中消協(xié)副會長兼秘書長常宇表示,,近來個人信息泄露事件的頻發(fā),,對消費者造成了金融資產(chǎn)和個人信息安全等多方面的危害,消費者個人信息保護面臨防范難,、舉證難,、索賠難等問題,須動員各方力量,,盡快從制度建設,、法律措施、企業(yè)責任,、消費者自我防范等多方面筑牢保護的藩籬,。
記者注意到,目前對于個人信息的法律保護仍處空白,。據(jù)悉,,我國最早的個人信息立法程序始于2003年,國務院當年委托有關專家起草《個人信息保護法》,,2005年專家建議稿完成,,并提交國務院審議。但自此之后該法律即停擺十年,,再無下文,。2012年12月28日,全國人大常委會通過《關于加強網(wǎng)絡信息保護的決定》后,,較為明確地為網(wǎng)絡個人信息保護提供了法律依據(jù),,但也僅僅規(guī)定了主動侵權(quán)所應承擔的責任,并未規(guī)定被動侵權(quán)的部分,。
一位專家表示,,網(wǎng)站主動收集用戶信息,并用于非法用途,,肯定要承擔侵權(quán)責任,,但如果網(wǎng)站被黑客攻破,造成用戶信息泄露,,則屬于過失泄露,,其應承擔的責任很難界定。信息泄露一旦發(fā)生,,追責將很困難,,由此應盡快確立責任人制度,明確企業(yè)責任,,倒逼企業(yè)投入更多資金和精力在信息安全防護上,。
