多款打车软件存信息泄露风险快的滴滴榜上有名 - 新闻 - 网络通信网—

　　所谓“拖库”是指黑客入侵有价值的网络站点，把注册用户的资料数据库全部盗走的行为。乌云网核心白帽子“猪猪侠”认为，“软件用户信息泄露的根本原因是开发人员的安全意识不足。”他表示，大多数的漏洞在软件系统设计之初就可以避免，但由于部分开发人员不够重视，造成软件存在了漏洞，继而导致用户信息存在了被黑客拖库的可能性。

　　令人更加不安的是，在被告知软件存在安全漏洞之后，依然有11个漏洞被相应厂商选择忽略。其中，嘀嗒拼车的5个安全漏洞全部被忽略，包括了在今年3月份有白帽子发布的“嘀嗒拼车SQL注入泄露用户敏感信息（包括车主证件, 银行卡号等）”的漏洞。

　　SQL注入可以通过在Web表单中输入（恶意）SQL语句，得到一个存在安全漏洞的网站上的数据库。这一高危漏洞被发布者指出可能导致嘀嗒拼车用户的银行卡号、车主证件等信息外泄。然而这条漏洞显示的状态却是“已经通知厂商但厂商忽略漏洞”。

　　“漏洞忽略与否取决于漏洞对业务的影响度。比如，漏洞本身危害是不是可以直接影响服务器，以及涉及的是否是核心数据等等。”易到用车一位不愿透露姓名的技术工程师向本刊记者表示。

　　被黑信息“用途”多

　　自2014年年初快的、滴滴两款打车软件的“烧钱大战”之后，打车软件吸引了大批的注册用户。毫无疑问，这迅速聚集起来的大批量的用户信息自然成为了不少黑客觊觎的“香饽饽”。

　　5月6日，北京青年报报道称在淘宝平台已有卖家开始公然出售Uber用户信息，包括用户姓名、手机号码、信用卡的信息。虽然在曝光后，该商品迅速被下架，Uber相关负责人也立马现身辟谣，但这仍然牵动了不少用户敏感的神经。

　　淘宝网消费者客服人员查询后向《消费者报道》记者证实，在2015年5月5日名为“小蛋卷家”的淘宝店铺确实上架了“UBER用户信息”的商品，每份一元，最终成交记录为5笔，共27份商品被出售。

　　对于卖家在淘宝上公开售卖用户信息的违规行为，该客服人员表示，卖家在申请该店铺的时候可能是以售卖其他正规商品的名义申请的，后来突然转换成出售用户信息，只能通过后续的审核进行跟进处理。

　　“一旦数据库被拖库之后，相关信息被公开售卖是存在可能的。比如说信息里有一些车主信息，如果我是保险公司，我把这个信息买下来之后，我可以看看他的汽车保险状况。如果信息里还存在用户信用卡账号、有效期限等信息，一旦信息被黑，不法分子就能用这些信息做黑卡，进行盗刷。” 万仁国表示。

　　信息被黑出去之后除了拿去卖，还可以用来撞库。“一般而言很多人的账号跟密码用的都是同一个。如果我有了一个人打车软件的账号密码，可以用它尝试登陆这个人的支付宝、微信等等，一旦成功了，我就可以把账号里的钱进行转账和消费。” 万仁国充道。

　　漏洞修复全赖程序员

　　实际上，软件存在安全漏洞并不是值得大惊小怪的事情。

　　安全顾问、游侠安全网站长张百川告诉记者，“软件有漏洞很正常，能不能及时修复才是关键，软件程序员有着不可推卸的责任，程序员如果重视安全工作，能够避免80%的漏洞，另外的20%，还是得靠程序员。”

　　当然，如果拥有用户信息的公司重视安全工作，能够避免大部分的漏洞，剩下的一些诟病可以通过安全管理来改善。比如，厂商在收到乌云网等平台反馈的漏洞之后能够及时进行修复，就是安全管理的一部分。

　　有3个安全漏洞被“发现”的易到用车相关负责人向本刊回应称，“已有专业的安全人员去做一些安全工作，敏感数据的存储都采取加密的方式。针对被发布的三个安全漏洞，易到用车已经在第一时间处理，涉及数据是部分业务的数据”。

　　“软件其实是动态的，系统也是动态的，没办法评判打车平台是不是一直安全。原来没有漏洞，软件更新了，说不定就产生漏洞了，所以说软件并没有绝对的安全。一般来说用户越多的平台相对而言安全性会更高一些。互联网免费，大家的选择有很多，用脚投票是最直接的。” 万仁国最后对记者表示。

责任编辑：admin

免责声明：以上内容转载互联网平台或企业单位自行提供，对内容的真实性、准确性和合法性不负责，Voipchina网对此不承担任何法律责任。

【大中小】【打印】【繁体】【投稿】【收藏】【推荐】【举报】【评论】【关闭】【返回顶部】

上一篇：迪普科技提升九江银行网银系统响..

下一篇：英美情报机构致力于寻找绕开安全..

资料索取

网友评论