“一般而言很多人的賬号跟密碼用的都是同一個。如果我有了一個人打車軟件的賬号密碼,可以用它嘗試登陸這個人的支付寶、微信等等,一旦成功,我就可以把賬号裡的錢拿來轉賬和消費。”
本刊實習記者/劉家路
時下,打車軟件因其快捷、便利而大受歡迎,但“火爆”背後存在的安全問題也逐漸暴露出來,用戶的信息安全更是備受關注。
互聯網漏洞曝光平台——烏雲網2015年5月向《消費者報道》提供的數據顯示,自2014年1月份到2015年5月上旬,共發布59個關于打車軟件的安全漏洞,涉及廠商多達9家,其中快的、滴滴、Uber等行業領先企業赫然在列。
高危漏洞頻遭忽略
在上述漏洞中,危害等級為“高”的漏洞達33個,占比55.9%;中危漏洞14個,占23.7%;低危漏洞12個,占20.3%。其中,快的打車被發布的安全漏洞數最多,達19個(包括一号專車漏洞),一嗨租車和神州租車分别以12和10個的漏洞數緊随其後,而滴滴打車漏洞數則為7個(如圖2)。
在漏洞類型方面,被直接标記為“敏感信息洩露”或者“重要敏感信息洩露”的漏洞有9個,可能會造成軟件用戶信息洩露的漏洞至少達25個。
360手機安全專家萬仁國告訴本刊記者,“打車軟件本身是一個應用,會有一些數據,這些數據都是在服務器上會存在的。如果這個應用不夠健全,存在的漏洞被人利用,導緻拖庫,可以拿到所有的數據。”
所謂“拖庫”是指黑客入侵有價值的網絡站點,把注冊用戶的資料數據庫全部盜走的行為。烏雲網核心白帽子“豬豬俠”認為,“軟件用戶信息洩露的根本原因是開發人員的安全意識不足。”他表示,大多數的漏洞在軟件系統設計之初就可以避免,但由于部分開發人員不夠重視,造成軟件存在了漏洞,繼而導緻用戶信息存在了被黑客拖庫的可能性。