《經(jīng)濟(jì)參考報(bào)》記者日前在采訪中了解到,由于車(chē)企信息安全意識(shí)淡薄,對(duì)已知的網(wǎng)站漏洞長(zhǎng)期不管不顧,任由車(chē)主信息泄露,已對(duì)廣大購(gòu)車(chē)消費(fèi)者的安全造成巨大威脅。
車(chē)主信息黑市標(biāo)價(jià)“每條1至5元”
記者通過(guò)補(bǔ)天平臺(tái)查閱得知,存在漏洞并可能產(chǎn)生大量車(chē)主個(gè)人隱私信息泄露的,包括一汽豐田、長(zhǎng)安汽車(chē)、上海大眾、捷豹等多家車(chē)企,同時(shí)還包括第一汽車(chē)資訊網(wǎng)、我愛(ài)汽車(chē)網(wǎng)等多家知名汽車(chē)網(wǎng)站。
在“白帽子”(網(wǎng)絡(luò)安全術(shù)語(yǔ),指可以識(shí)別計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中安全漏洞的人,但這類(lèi)人不會(huì)惡意利用漏洞,而是發(fā)布漏洞信息,幫助當(dāng)事方及時(shí)修復(fù)漏洞)于補(bǔ)天平臺(tái)上提交的漏洞顯示,長(zhǎng)安汽車(chē)某系統(tǒng)漏洞或?qū)?dǎo)致全國(guó)近千家代理商、百萬(wàn)以上買(mǎi)家檔案信息泄露;一汽豐田的漏洞則可能導(dǎo)致大量經(jīng)銷(xiāo)商員工信息和近10萬(wàn)客戶(hù)信息的泄露。
而這僅是冰山一角,記者同時(shí)從烏云平臺(tái)處了解到,2011年至今,“白帽子”在烏云平臺(tái)上共提交有關(guān)于車(chē)企網(wǎng)站的漏洞達(dá)58個(gè),其中近一半的漏洞都可能造成網(wǎng)站用戶(hù)的信息泄露,背后涉及到百萬(wàn)車(chē)主的信息安全,但截至目前,包括凱迪拉克弱口令、寶馬數(shù)據(jù)庫(kù)注冊(cè)漏洞和奔馳越權(quán)漏洞依然存在,均有泄露大量用戶(hù)信息的風(fēng)險(xiǎn)。
與此同時(shí),在黑市上,車(chē)主個(gè)人隱私信息倒賣(mài)已成為常態(tài)?!督?jīng)濟(jì)參考報(bào)》記者了解到,一般而言,黑客“拿下”車(chē)企網(wǎng)站數(shù)據(jù)庫(kù),再轉(zhuǎn)手交由數(shù)據(jù)販子以每條1至5元的價(jià)格倒賣(mài),這其中包括車(chē)主個(gè)人姓名、電話(huà)、購(gòu)買(mǎi)車(chē)型、訂單,甚至個(gè)人身份證號(hào)、住址等詳細(xì)信息。令人擔(dān)憂(yōu)的是,一旦這些數(shù)據(jù)落入買(mǎi)家手中,車(chē)主輕則會(huì)接到賣(mài)車(chē)或保險(xiǎn)的推銷(xiāo)電話(huà),重則可能遭遇保險(xiǎn)詐騙,即以違章記錄的名頭騙取違約金等。
廠商“冷對(duì)”漏洞車(chē)聯(lián)網(wǎng)潛藏巨大風(fēng)險(xiǎn)
值得注意的是,這些泛濫行業(yè)的漏洞并未引起車(chē)企重視,以“白帽子”提交的漏洞反饋情況來(lái)看,絕大多數(shù)顯示為“未聯(lián)系到廠商或廠商積極忽略”。
記者采訪中了解到,隨著車(chē)聯(lián)網(wǎng)技術(shù)的快速發(fā)展和普及,通過(guò)入侵車(chē)聯(lián)網(wǎng)系統(tǒng),盜取用戶(hù)信息的現(xiàn)象日漸增多。由此,車(chē)企的安全漏洞不僅會(huì)造成用戶(hù)信息泄露,更可能導(dǎo)致車(chē)輛被盜、危及行車(chē)安全等情況的發(fā)生。
360安全專(zhuān)家裴智勇在接受《經(jīng)濟(jì)參考報(bào)》記者采訪時(shí)表示,從協(xié)助一些廠商進(jìn)行的車(chē)聯(lián)網(wǎng)安全監(jiān)測(cè)來(lái)看,目前車(chē)聯(lián)網(wǎng)系統(tǒng)普遍存在如下安全問(wèn)題:
——登錄系統(tǒng)缺乏有效的鑒權(quán)管理,使得攻擊者可非法查看大量車(chē)主信息,如車(chē)牌、發(fā)動(dòng)機(jī)號(hào)、行駛里程、聯(lián)系方式等;
——車(chē)聯(lián)網(wǎng)系統(tǒng)存在漏洞,可能給車(chē)主本人帶來(lái)人身安全的威脅。如某些車(chē)聯(lián)網(wǎng)系統(tǒng)中,黑客可通過(guò)云端服務(wù)器向汽車(chē)發(fā)送指令,使汽車(chē)儀表盤(pán)顯示異常,引發(fā)車(chē)主在駕駛過(guò)程中的恐慌。在某些系統(tǒng)中,黑客還可通過(guò)服務(wù)器向汽車(chē)下達(dá)剎車(chē)指令,從而在高速行駛中突然剎車(chē),造成危險(xiǎn);
——某些車(chē)載系統(tǒng)存在安全漏洞,致使攻擊者可在沒(méi)有鑰匙的情況下,打開(kāi)車(chē)門(mén)、開(kāi)啟天窗,閃爍車(chē)燈,甚至發(fā)動(dòng)汽車(chē)。同時(shí)一些智能車(chē)載系統(tǒng),也可能被植入木馬程序,從而造成車(chē)主信息泄露和駕駛的風(fēng)險(xiǎn);
——目前一些智能汽車(chē)已可用手機(jī)進(jìn)行遙控,若手機(jī)本身感染木馬病毒,則不僅可能造成車(chē)主信息泄露,還可能使得汽車(chē)存在被盜風(fēng)險(xiǎn)。
裴智勇建議消費(fèi)者,應(yīng)加強(qiáng)個(gè)人信息的保護(hù)意識(shí),一旦發(fā)生買(mǎi)車(chē)后大量廣告信息涌入,應(yīng)及時(shí)向工商部門(mén)或消費(fèi)者協(xié)會(huì)等組織舉報(bào),也可通過(guò)安裝手機(jī)安全軟件來(lái)標(biāo)記構(gòu)成嚴(yán)重騷擾的電話(huà)號(hào)碼或?qū)⑵浼尤牒诿麊?。同時(shí),在購(gòu)車(chē)時(shí),消費(fèi)者應(yīng)明確向銷(xiāo)售商要求不得向第三方轉(zhuǎn)讓其個(gè)人信息,并可將相關(guān)要求寫(xiě)入購(gòu)車(chē)合同,從而在最大程度上維護(hù)自身合法權(quán)益。
法律存“空白”應(yīng)明確企業(yè)責(zé)任
2015年中消協(xié)發(fā)布的《2014年度消費(fèi)者個(gè)人信息網(wǎng)絡(luò)安全報(bào)告》顯示,網(wǎng)絡(luò)針對(duì)消費(fèi)者個(gè)人信息“竊取”和“非法使用”的黑色產(chǎn)業(yè)鏈呈現(xiàn)爆發(fā)性增長(zhǎng)態(tài)勢(shì)。有2/3的消費(fèi)者在接受調(diào)查時(shí)明確表示,過(guò)去一年內(nèi)個(gè)人信息曾被泄露或竊取。
當(dāng)個(gè)人信息被泄露或竊取后,八成受訪者受到廣告(電話(huà)、短信、郵件等形式)騷擾,大大妨礙了消費(fèi)者的正常生活。浪費(fèi)時(shí)間和精力、學(xué)習(xí)或工作受到影響的占比也較多,分別為49.37%、34.94%,還有33.14%的受訪者遭受過(guò)經(jīng)濟(jì)損失和人身傷害。
信息安全專(zhuān)家曹岳在接受《經(jīng)濟(jì)參考報(bào)》記者采訪時(shí)表示,個(gè)人信息作為一種虛擬財(cái)產(chǎn)主體,其泄漏毫無(wú)疑問(wèn)會(huì)使消費(fèi)者權(quán)益受損,例如經(jīng)常會(huì)接到一些騷擾電話(huà),但是否為企業(yè)對(duì)消費(fèi)者權(quán)益造成的侵犯,還須進(jìn)一步界定。
中消協(xié)副會(huì)長(zhǎng)兼秘書(shū)長(zhǎng)常宇表示,近來(lái)個(gè)人信息泄露事件的頻發(fā),對(duì)消費(fèi)者造成了金融資產(chǎn)和個(gè)人信息安全等多方面的危害,消費(fèi)者個(gè)人信息保護(hù)面臨防范難、舉證難、索賠難等問(wèn)題,須動(dòng)員各方力量,盡快從制度建設(shè)、法律措施、企業(yè)責(zé)任、消費(fèi)者自我防范等多方面筑牢保護(hù)的藩籬。
記者注意到,目前對(duì)于個(gè)人信息的法律保護(hù)仍處空白。據(jù)悉,我國(guó)最早的個(gè)人信息立法程序始于2003年,國(guó)務(wù)院當(dāng)年委托有關(guān)專(zhuān)家起草《個(gè)人信息保護(hù)法》,2005年專(zhuān)家建議稿完成,并提交國(guó)務(wù)院審議。但自此之后該法律即停擺十年,再無(wú)下文。2012年12月28日,全國(guó)人大常委會(huì)通過(guò)《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》后,較為明確地為網(wǎng)絡(luò)個(gè)人信息保護(hù)提供了法律依據(jù),但也僅僅規(guī)定了主動(dòng)侵權(quán)所應(yīng)承擔(dān)的責(zé)任,并未規(guī)定被動(dòng)侵權(quán)的部分。
一位專(zhuān)家表示,網(wǎng)站主動(dòng)收集用戶(hù)信息,并用于非法用途,肯定要承擔(dān)侵權(quán)責(zé)任,但如果網(wǎng)站被黑客攻破,造成用戶(hù)信息泄露,則屬于過(guò)失泄露,其應(yīng)承擔(dān)的責(zé)任很難界定。信息泄露一旦發(fā)生,追責(zé)將很困難,由此應(yīng)盡快確立責(zé)任人制度,明確企業(yè)責(zé)任,倒逼企業(yè)投入更多資金和精力在信息安全防護(hù)上。
