沃通SSL证书
知名车企网站存漏洞 百万车主信息遭泄露
2015-07-10
随着互联网的发展,越来越多的业务搬上了网站,网站作为交流交易平台,存储了大量的信息,一旦泄露将被不法分子利用,给人们带来严重的安全隐患。近日,有媒体报道多加知名车企的网站存在安全漏洞,百万车主的信息被泄露,黑市标价1-5元疯狂甩卖,对广大购车消费者的人生财产安全造成巨大威胁。
车主信息流入黑市 每条1至5元疯狂甩卖
媒体爆料,存在漏洞并可能产生大量车主个人隐私信息泄露的,包括一汽丰田、长安汽车、上海大众、捷豹等多家车企,同时还包括第一汽车资讯网、我爱汽车网等多家知名汽车网站。
补天平台上公布的漏洞显示,长安汽车某系统漏洞或将导致全国近千家代理商、百万以上买家档案信息泄露;一汽丰田的漏洞则可能导致大量经销商员工信息和近10万客户信息的泄露。
而这仅是冰山一角,记者同时从乌云平台处了解到,2011年至今,“白帽子”在乌云平台上共提交有关于车企网站的漏洞达58个,其中近一半的漏洞都可能造成网站用户的信息泄露,背后涉及到百万车主的信息安全,但截至目前,包括凯迪拉克弱口令、宝马数据库注册漏洞和奔驰越权漏洞依然存在,均有泄露大量用户信息的风险。
与此同时,在黑市上,车主个人隐私信息倒卖已成为常态。一般而言,黑客“拿下”车企网站数据库,再转手交由数据贩子以每条1至5元的价格倒卖,这其中包括车主个人姓名、电话、购买车型、订单,甚至个人身份证号、住址等详细信息。令人担忧的是,一旦这些数据落入买家手中,车主轻则会接到卖车或保险的推销电话,重则可能遭遇保险诈骗,即以违章记录的名头骗取违约金等。
厂商“冷对”漏洞 车联网潜藏巨大风险
值得注意的是,这些泛滥行业的漏洞并未引起车企重视,根据补天漏洞平台显示的漏洞反馈情况来看,绝大多数显示为“未联系到厂商或厂商积极忽略”。
记者采访中了解到,随着车联网技术的快速发展和普及,通过入侵车联网系统,盗取用户信息的现象日渐增多。由此,车企的安全漏洞不仅会造成用户信息泄露,更可能导致车辆被盗、危及行车安全等情况的发生。
360安全专家裴智勇在接受《经济参考报》记者采访时表示,从协助一些厂商进行的车联网安全监测来看,目前车联网系统普遍存在如下安全问题:
1、登录系统缺乏有效的鉴权管理,使得攻击者可非法查看大量车主信息,如车牌、发动机号、行驶里程、联系方式等;
2、车联网系统存在漏洞,可能给车主本人带来人身安全的威胁。如某些车联网系统中,黑客可通过云端服务器向汽车发送指令,使汽车仪表盘显示异常,引发车主在驾驶过程中的恐慌。在某些系统中,黑客还可通过服务器向汽车下达刹车指令,从而在高速行驶中突然刹车,造成危险;
3、某些车载系统存在安全漏洞,致使攻击者可在没有钥匙的情况下,打开车门、开启天窗,闪烁车灯,甚至发动汽车。同时一些智能车载系统,也可能被植入木马程序,从而造成车主信息泄露和驾驶的风险;
4、目前一些智能汽车已可用手机进行遥控,若手机本身感染木马病毒,则不仅可能造成车主信息泄露,还可能使得汽车存在被盗风险。
裴智勇建议消费者,应加强个人信息的保护意识,一旦发生买车后大量广告信息涌入,应及时向工商部门或消费者协会等组织举报,也可通过安装手机安全软件来标记构成严重骚扰的电话号码或将其加入黑名单。同时,在购车时,消费者应明确向销售商要求不得向第三方转让其个人信息,并可将相关要求写入购车合同,从而在最大程度上维护自身合法权益。
法律存“空白”应明确企业责任
2015年中消协发布的《2014年度消费者个人信息网络安全报告》显示,网络针对消费者个人信息“窃取”和“非法使用”的黑色产业链呈现爆发性增长态势。有2/3的消费者在接受调查时明确表示,过去一年内个人信息曾被泄露或窃取。
当个人信息被泄露或窃取后,八成受访者受到广告(电话、短信、邮件等形式)骚扰,大大妨碍了消费者的正常生活。浪费时间和精力、学习或工作受到影响的占比也较多,分别为49.37%、34.94%,还有33.14%的受访者遭受过经济损失和人身伤害。
信息安全专家曹岳在接受《经济参考报》记者采访时表示,个人信息作为一种虚拟财产主体,其泄漏毫无疑问会使消费者权益受损,例如经常会接到一些骚扰电话,但是否为企业对消费者权益造成的侵犯,还须进一步界定。
中消协副会长兼秘书长常宇表示,近来个人信息泄露事件的频发,对消费者造成了金融资产和个人信息安全等多方面的危害,消费者个人信息保护面临防范难、举证难、索赔难等问题,须动员各方力量,尽快从制度建设、法律措施、企业责任、消费者自我防范等多方面筑牢保护的藩篱。
一位专家表示,网站主动收集用户信息,并用于非法用途,肯定要承担侵权责任,但如果网站被黑客攻破,造成用户信息泄露,则属于过失泄露,其应承担的责任很难界定。信息泄露一旦发生,追责将很困难,由此应尽快确立责任人制度,明确企业责任,倒逼企业投入更多资金和精力在信息安全防护上。
如何加强网站隐私信息保护?专家指出,给网站部署SSL证书进行https加密传输数据是目前最为行之有效的隐私信息安全保护措施!当前的http协议是浏览器和服务器之间明文传输,这就意味着用户填写的密码、帐号、交易记录等机密信息都是明文,随时可能被泄露、窃取、篡改,被黑客加以利用。网站安装SSL证书后,使用Https加密协议访问网站,可激活客户端浏览器到网站服务器之间的”SSL加密通道”(SSL协议),实现高强度双向加密传输,防止传输数据被泄露或篡改。SSL证书应用案例:http://www.wosign.com/about/Who_uses_WoSign.htm
相关文章:
上一篇: 疑报考系统信息泄露 考生录用公信力遭质疑
