多款打车软件存信息泄露风险 快的滴滴上榜

时下,打车软件因其快捷、便利而大受欢迎,但“火爆”背后存在的安全问题也逐渐暴露出来,用户的信息安全更是备受关注。
 
互联网漏洞曝光平台——乌云网2015年5月向《消费者报道》提供的数据显示,自2014年1月份到2015年5月上旬,共发布59个关于打车软件的安全漏洞,涉及厂商多达9家,其中快的、滴滴、Uber等行业领先企业赫然在列。
 
高危漏洞频遭忽略
 
在上述漏洞中,危害等级为“高”的漏洞达33个,占比55.9%;中危漏洞14个,占23.7%;低危漏洞 12个,占20.3%。其中,快的打车被发布的安全漏洞数最多,达19个(包括一号专车漏洞),一嗨租车和神州租车分别以12个、10个的漏洞数紧随其 后,而滴滴打车漏洞数则为7个。(如图)
多款打车软件存信息泄露风险 快的滴滴上榜
在漏洞类型方面,被直接标记为“敏感信息泄露”或者“重要敏感信息泄露”的漏洞有9个,可能会造成软件用户信息泄露的漏洞至少达25个。
 
360手机安全专家万仁国告诉《消费者报道》记者,“打车软件本身是一个应用,会有一些数据,这些数据都是在服务器上会存在的。如果这个应用不够健全,存在的漏洞被人利用,导致拖库,可以拿到所有的数据。”
 
所谓“拖库”是指黑客入侵有价值的网络站点,把注册用户的资料数据库全部盗走的行为。乌云网核心白帽子“猪猪侠”认为,“软件用户信息泄露的根 本原因是开发人员的安全意识不足。”他表示,大多数的漏洞在软件系统设计之初就可以避免,但由于部分开发人员不够重视,造成软件存在了漏洞,继而导致用户 信息存在了被黑客拖库的可能性。
 
令人更加不安的是,在被告知软件存在安全漏洞之后,依然有11个漏洞被相应厂商选择忽略。其中,嘀嗒拼车的5个安全漏洞全部被忽略,包括了在今年3月份有白帽子发布的“嘀嗒拼车SQL注入泄露用户敏感信息(包括车主证件, 银行卡号等)”的漏洞。
 
SQL注入可以通过在Web表单中输入(恶意)SQL语句,得到一个存在安全漏洞的网站上的数据库。这一高危漏洞被发布者指出可能导致嘀嗒拼车用户的银行卡号、车主证件等信息外泄。然而这条漏洞显示的状态却是“已经通知厂商但厂商忽略漏洞”。
 
“漏洞忽略与否取决于漏洞对业务的影响度。比如,漏洞本身危害是不是可以直接影响服务器,以及涉及的是否是核心数据等等。”易到用车一位不愿透露姓名的技术工程师向本刊记者表示。
 
被黑信息“用途”多
 
自2014年年初快的、滴滴两款打车软件的“烧钱大战”之后,打车软件吸引了大批的注册用户。毫无疑问,这迅速聚集起来的大批量的用户信息自然成为了不少黑客觊觎的“香饽饽”。
 
5月6日,北京青年报报道称在淘宝平台已有卖家开始公然出售Uber用户信息,包括用户姓名、手机号码、信用卡的信息。虽然在曝光后,该商品迅速被下架,Uber相关负责人也立马现身辟谣,但这仍然牵动了不少用户敏感的神经。
 
淘宝网消费者客服人员查询后向《消费者报道》记者证实,在2015年5月5日名为“小蛋卷家”的淘宝店铺确实上架了“UBER用户信息”的商品,每份一元,最终成交记录为5笔,共27份商品被出售。
 
对于卖家在淘宝上公开售卖用户信息的违规行为,该客服人员表示,卖家在申请该店铺的时候可能是以售卖其他正规商品的名义申请的,后来突然转换成出售用户信息,只能通过后续的审核进行跟进处理。
 
“一旦数据库被拖库之后,相关信息被公开售卖是存在可能的。比如说信息里有一些车主信息,如果我是保险公司,我把这个信息买下来之后,我可以看 看他的汽车保险状况。如果信息里还存在用户信用卡账号、有效期限等信息,一旦信息被黑,不法分子就能用这些信息做黑卡,进行盗刷。” 万仁国表示。
 
信息被黑出去之后除了拿去卖,还可以用来撞库。“一般而言很多人的账号跟密码用的都是同一个。如果我有了一个人打车软件的账号密码,可以用它尝试登陆这个人的支付宝、微信等等,一旦成功了,我就可以把账号里的钱进行转账和消费。” 万仁国充道。
 
漏洞修复全赖程序员
 
实际上,软件存在安全漏洞并不是值得大惊小怪的事情。
 
安全顾问、游侠安全网站长张百川告诉记者,“软件有漏洞很正常,能不能及时修复才是关键,软件程序员有着不可推卸的责任,程序员如果重视安全工作,能够避免80%的漏洞,另外的20%,还是得靠程序员。”
 
当然,如果拥有用户信息的公司重视安全工作,能够避免大部分的漏洞,剩下的一些诟病可以通过安全管理来改善。比如,厂商在收到乌云网等平台反馈的漏洞之后能够及时进行修复,就是安全管理的一部分。
 
有3个安全漏洞被“发现”的易到用车相关负责人向本刊回应称,“已有专业的安全人员去做一些安全工作,敏感数据的存储都采取加密的方式。针对被发布的三个安全漏洞,易到用车已经在第一时间处理,涉及数据是部分业务的数据”。
 
“软件其实是动态的,系统也是动态的,没办法评判打车平台是不是一直安全。原来没有漏洞,软件更新了,说不定就产生漏洞了,所以说软件并没有绝 对的安全。一般来说用户越多的平台相对而言安全性会更高一些。互联网免费,大家的选择有很多,用脚投票是最直接的。” 万仁国最后对记者表示。
更多相关文章
  • 今天,大数据部老大交给我一项任务——抓取股票历史数据.于是乎,我自行在网上找了一下,发现wget真真是一个非常强大的linux下载工具.我已经被深深震撼到了.下面叙述今天的一些过程,还是比较坎坷的. 首先,我利用公司现在存在的股票数据,使用hive查询所有的股票代码并导入本地: hive -e &q ...
  • mongostat是一个命令行工具,可以连接到mongodb server,然后显示出server的状态. 下面演示一个简单的使用: 直接在primary server上运行命令,不带参数  [email protected]:~# mongostat connected to: 127.0.0.1 insert q ...
  • 很多人会误以为网站要用到很多的特效,切忌大量使用动画.动画不宜过分夸张(例如PPT里的百叶窗这种动画),遵循物体简单的运动和实际操作带来的反馈去做动画,该有的时候出现,不该有的时候别瞎蹦. “如何让一个网站看起来高大上?或者更有设计感?” 很多同学关心这个问题,[email protected]_CHRIS ...
  • 在学习ASP.NET MVC之前首先了解什么 是MVC ? MVC不是一种语言,严格来说也不算一个技术,而是开发时所使用的一种架构(框架),它就像是一种开发观念,或是一个设计样式. MVC让软件开发的过程大致切割为三个主要单元,分别为:Model(模型).View(视图).Controller(控制 ...
  • 芯片制造商ARM公司敲定一项购买以色列物联网(IoT)安全网络专家Sansa的协议,该交易于本周四宣布,涉及的财务条款还未正式对外披露.不过据华尔街日报此前的报道,涉及金额为7500万到8500万美元. 全球大多数智能手机使用的芯片是由ARM制造的,收购Sansa之举可令ARM有能力在芯片上加入基于 ...
  • 最近遇到一个Bug问题,csv 数值转化为文本的问题. 数据如下: 运行效果 如下: 大家看到“01720” 前面的0 没有显示出来.怎样才能显示出来了, 这里的csv文件格式也没有什么问题.后来找到解决方法 就是加制表符\t. 可是怎么加了? 在csv文件直接加\t肯定不行的.于是借助C#来做一个 ...
一周排行
  • http://msdn.microsoft.com/msdnmag/issues/05/10/OpenMP/default.aspxhttp://blog.csdn.net/lanphaday/archive/200 ...
  • 在近期的PDC大会(详情参阅:微软专业开发者大会——51CTO记者西雅图微软总部现场报道)上,微软公布了Windows Azure云计算平台的未来蓝图.跳出单纯的基础架构作服务的框架,微软将Windows Azure ...
  • SQL Server使用Detach和Attach方式移动数据库位置   数据库备份和权限等云云的概念就不介绍了, 直接进入主题操作了   www.2cto.com   环境: 1. 服务器 SQL Server 2 ...
  • 相关代码 看到一篇Linux下printf输出彩色文件的文章,就在window下试了下,发现不能用 自己就写了个能在window下显示彩色文字的程序
  • 校区的周围有很多的网吧,一个对电子游戏迷恋了许久的青少年来说,那绝对是不可不去的地方,键盘,鼠标,显示器,那一切看起来都那么完美,那么似曾相识,是啊,魂牵梦绕的IT梦...哦..当时那只是电子游戏梦.. 就这样我理所 ...
  • 如果不是目前这个形式, 是不会去查"lay off"和"fire"有什么不同的. "lay off"的原因通常在雇主一方,或者是业务缩小,调整,或者干脆关门 ...
  • 近日有消息称,英特尔有意收购英飞凌,而苹果也可能收购ARM.两家公司中,英飞凌在有线.无线终端设备行业中有着多年的经验,ARM则以芯片架构的商业模式被认为是英特尔最强劲的竞争对手.收购传闻虽未被证实,但全球芯片领域新 ...
  • 自由人/文 中国的消费者,每年都有的“节日”(3.15消费者权益保护日)又来临了.我们还有这样的日子,还有“天天3.15”的口号,央视年年都象办春晚一样会搞一台“3.15晚会”,这一切本身就说明消费者仍然是弱势群体. ...
  • http://www.gamedev.net/community/forums/showfaq.asp?forum_id=15
  • GKD的开发进入中段,GKD server的stub写得差不多了, 但因为qemu自带底层调试能力比bochs还要差,所以很多时候要自己搞,比如说反GDT结构.