《经济参考报》记者日前在采访中了解到,由于车企信息安全意识淡薄,对已知的网站漏洞长期不管不顾,任由车主信息泄露,已对广大购车消费者的安全造成巨大威胁。
车主信息黑市标价“每条1至5元”
记者通过补天平台查阅得知,存在漏洞并可能产生大量车主个人隐私信息泄露的,包括一汽丰田、长安汽车、上海大众、捷豹等多家车企,同时还包括第一汽车资讯网、我爱汽车网等多家知名汽车网站。
在“白帽子”(网络安全术语,指可以识别计算机系统或网络系统中安全漏洞的人,但这类人不会恶意利用漏洞,而是发布漏洞信息,帮助当事方及时修 复漏洞)于补天平台上提交的漏洞显示,长安汽车某系统漏洞或将导致全国近千家代理商、百万以上买家档案信息泄露;一汽丰田的漏洞则可能导致大量经销商员工 信息和近10万客户信息的泄露。
而这仅是冰山一角,记者同时从乌云平台处了解到,2011年至今,“白帽子”在乌云平台上共提交有关于车企网站的漏洞达58个,其中近一半的漏 洞都可能造成网站用户的信息泄露,背后涉及到百万车主的信息安全,但截至目前,包括凯迪拉克弱口令、宝马数据库注册漏洞和奔驰越权漏洞依然存在,均有泄露 大量用户信息的风险。
与此同时,在黑市上,车主个人隐私信息倒卖已成为常态。《经济参考报》记者了解到,一般而言,黑客“拿下”车企网站数据库,再转手交由数据贩子 以每条1至5元的价格倒卖,这其中包括车主个人姓名、电话、购买车型、订单,甚至个人身份证号、住址等详细信息。令人担忧的是,一旦这些数据落入买家手 中,车主轻则会接到卖车或保险的推销电话,重则可能遭遇保险诈骗,即以违章记录的名头骗取违约金等。
厂商“冷对”漏洞车联网潜藏巨大风险
值得注意的是,这些泛滥行业的漏洞并未引起车企重视,以“白帽子”提交的漏洞反馈情况来看,绝大多数显示为“未联系到厂商或厂商积极忽略”。
记者采访中了解到,随着车联网技术的快速发展和普及,通过入侵车联网系统,盗取用户信息的现象日渐增多。由此,车企的安全漏洞不仅会造成用户信息泄露,更可能导致车辆被盗、危及行车安全等情况的发生。
360安全专家裴智勇在接受《经济参考报》记者采访时表示,从协助一些厂商进行的车联网安全监测来看,目前车联网系统普遍存在如下安全问题:
——登录系统缺乏有效的鉴权管理,使得攻击者可非法查看大量车主信息,如车牌、发动机号、行驶里程、联系方式等;
——车联网系统存在漏洞,可能给车主本人带来人身安全的威胁。如某些车联网系统中,黑客可通过云端服务器向汽车发送指令,使汽车仪表盘显示异常,引发车主在驾驶过程中的恐慌。在某些系统中,黑客还可通过服务器向汽车下达刹车指令,从而在高速行驶中突然刹车,造成危险;
——某些车载系统存在安全漏洞,致使攻击者可在没有钥匙的情况下,打开车门、开启天窗,闪烁车灯,甚至发动汽车。同时一些智能车载系统,也可能被植入木马程序,从而造成车主信息泄露和驾驶的风险;
——目前一些智能汽车已可用手机进行遥控,若手机本身感染木马病毒,则不仅可能造成车主信息泄露,还可能使得汽车存在被盗风险。
裴智勇建议消费者,应加强个人信息的保护意识,一旦发生买车后大量广告信息涌入,应及时向工商部门或消费者协会等组织举报,也可通过安装手机安 全软件来标记构成严重骚扰的电话号码或将其加入黑名单。同时,在购车时,消费者应明确向销售商要求不得向第三方转让其个人信息,并可将相关要求写入购车合 同,从而在最大程度上维护自身合法权益。
法律存“空白”应明确企业责任
2015年中消协发布的《2014年度消费者个人信息网络安全报告》显示,网络针对消费者个人信息“窃取”和“非法使用”的黑色产业链呈现爆发性增长态势。有2/3的消费者在接受调查时明确表示,过去一年内个人信息曾被泄露或窃取。
当个人信息被泄露或窃取后,八成受访者受到广告(电话、短信、邮件等形式)骚扰,大大妨碍了消费者的正常生活。浪费时间和精力、学习或工作受到影响的占比也较多,分别为49.37%、34.94%,还有33.14%的受访者遭受过经济损失和人身伤害。
信息安全专家曹岳在接受《经济参考报》记者采访时表示,个人信息作为一种虚拟财产主体,其泄漏毫无疑问会使消费者权益受损,例如经常会接到一些骚扰电话,但是否为企业对消费者权益造成的侵犯,还须进一步界定。
中消协副会长兼秘书长常宇表示,近来个人信息泄露事件的频发,对消费者造成了金融资产和个人信息安全等多方面的危害,消费者个人信息保护面临防范难、举证难、索赔难等问题,须动员各方力量,尽快从制度建设、法律措施、企业责任、消费者自我防范等多方面筑牢保护的藩篱。
记者注意到,目前对于个人信息的法律保护仍处空白。据悉,我国最早的个人信息立法程序始于2003年,国务院当年委托有关专家起草《个人信息保 护法》,2005年专家建议稿完成,并提交国务院审议。但自此之后该法律即停摆十年,再无下文。2012年12月28日,全国人大常委会通过《关于加强网 络信息保护的决定》后,较为明确地为网络个人信息保护提供了法律依据,但也仅仅规定了主动侵权所应承担的责任,并未规定被动侵权的部分。
一位专家表示,网站主动收集用户信息,并用于非法用途,肯定要承担侵权责任,但如果网站被黑客攻破,造成用户信息泄露,则属于过失泄露,其应承 担的责任很难界定。信息泄露一旦发生,追责将很困难,由此应尽快确立责任人制度,明确企业责任,倒逼企业投入更多资金和精力在信息安全防护上。记者 杨烨 林远