2015年5月���,互聯(lián)網(wǎng)安全漏洞報告平臺——烏云網(wǎng)合伙人鄔迪告訴記者�,在重新評估因車企網(wǎng)站漏洞而涉及到的車主信息泄露時���,他覺得“超出了自己的想象”�����。奔馳寶馬凱迪拉克官網(wǎng)漏洞兩年不補類似東風雪鐵龍的這種“疏忽”��,在一線車企中并不是孤例�。
“一邊整理車企的安全漏洞��,一邊覺得這可能真是個大事”����。
2015年5月,互聯(lián)網(wǎng)安全漏洞報告平臺——烏云網(wǎng)合伙人鄔迪告訴記者�����,在重新評估因車企網(wǎng)站漏洞而涉及到的車主信息泄露時����,他覺得“超出了自己的想象”����。
其實想象已經(jīng)部分變成現(xiàn)實����。一方面����,黑客“拿下”一個個車企網(wǎng)站數(shù)據(jù)庫,再轉(zhuǎn)手交由數(shù)據(jù)販子以每條1至5塊錢的價格倒賣�����。另一方面�����,車企信息安全意識淡薄�,以至于對于已知的網(wǎng)站漏洞長期不管不顧,任由車主信息泄露�����。
雪鐵龍車主信息泄露規(guī)?����;虺?0萬
“全國東風雪鐵龍網(wǎng)站后臺的售前信息我都有,還可以提供即時的”���,一位網(wǎng)名叫做“貓哥”的黑客在網(wǎng)絡(luò)上兜售車主信息���。
為了證明所言非虛,“貓哥”提供了數(shù)據(jù)庫截圖���。截圖上顯示了7個城市的15個訂單信息�,具體包括了車主姓名��、手機號碼���、意向購車型號�����。下單時間則集中在2015年5月4日晚8點以后���,最新的訂單信息則剛剛發(fā)生在5分鐘之前。那么到底有多少條車主信息��?黑客“貓哥”提供的數(shù)據(jù)截屏顯示����,其后還有540676條信息。不過黑客向本刊記者解釋�,“54萬條數(shù)據(jù)里重復的很多,不算重復的��,有10萬條售前信息”�。
除幾個沒有撥通的電話外,經(jīng)本刊記者隨機電話確認���,黑客提供的電話主人都是不久前購買過東風雪鐵龍汽車的車主�。
這可能只是冰山一角�����。黑客“貓哥”還向記者表示����,凡是東風雪鐵龍的潛在客戶在易車網(wǎng)、汽車之家留下的訂單和電話他也能查到�����。按照黑客提供的電話信息����,一位接聽電話的用戶對記者表示����,他剛在易車網(wǎng)的詢價平臺留下了自己的個人信息��。
易車網(wǎng)技術(shù)人員則對回應(yīng)稱����,“易車網(wǎng)僅提供詢價的平臺入口,詢價者的信息會直接發(fā)送給對應(yīng)的品牌經(jīng)銷商���,易車網(wǎng)不會做任何保存”�����。
即使是只有姓名��、手機�、城市和意向車款的詢價信息���,黑客“貓哥”已經(jīng)要價一塊錢一條��,試駕者信息則開到了兩塊一條�。“真正搶手的還不是售前數(shù)據(jù)��,其他信息數(shù)據(jù)比較全的����,一到手就被‘秒’了”����。黑客“貓哥”表示。
東風雪鐵龍官網(wǎng)的用戶信息為何能輕易地就被盜走�?
黑客“貓哥”給出的答案是“太懶”?�!皷|風雪鐵龍基本不管自己的后臺�,這是能輕易拿下數(shù)據(jù)的主要原因”。他說��。
2015年4月29日�����,曾有白帽子(不惡意利用安全漏洞的黑客)向烏云平臺提交名為“東風雪鐵龍某后臺弱口令可導致全國幾百個經(jīng)銷商賬號與大量個人數(shù)據(jù)泄露”的漏洞����。
對于這個漏洞��,綠盟科技NSTRT團隊負責人張佳發(fā)告訴本刊記者�����,如有攻擊者登錄后臺��,可以看到東風雪鐵龍經(jīng)銷商全部的敏感數(shù)據(jù)��,可導致全國幾百個經(jīng)銷商賬號與大量個人數(shù)據(jù)泄露����。
“該漏洞沒太多技術(shù)含量�����,非常容易被利用”��。烏云網(wǎng)主站運營者孟卓告訴本刊記者���,“一旦這些數(shù)據(jù)落入買家手上�,很多車主可能會接到賣車或者保險的推銷電話騷擾���。還有更加惡劣的結(jié)果可能就是保險詐騙�����,即以違章記錄的名頭來騙取違約金”���。
可就是這個“沒有太多技術(shù)含量”的漏洞,直到2015年6月其狀態(tài)仍然顯示為“已經(jīng)通知廠商但是廠商忽略漏洞”��。
對此����,東風雪鐵龍公關(guān)公司——靈思公司公關(guān)梁婧回復本刊稱,“東風雪鐵龍明確不回應(yīng)信息泄露的相關(guān)問題”���。
奔馳寶馬凱迪拉克官網(wǎng)漏洞兩年不補
類似東風雪鐵龍的這種“疏忽”����,在一線車企中并不是孤例����。
“我們發(fā)現(xiàn)很多車企不夠重視自身的信息安全建設(shè)。從烏云白帽子提交的漏洞來看�����,很少有車企會在聯(lián)系之后來認領(lǐng),個別的甚至會主動忽略”����,鄔迪說。
2011年至今��,白帽子在烏云平臺上總共提交了有關(guān)于車企網(wǎng)站的58個漏洞���。其中接近一半的漏洞都可能造成網(wǎng)站用戶的信息泄露����,背后涉及到百萬車主的信息安全����。而絕大多數(shù)漏洞狀態(tài),都是“未聯(lián)系到廠商或者廠商積極忽略”���。
2013年6月�����,烏云網(wǎng)ID為“愛上平頂山”的核心白帽子(平臺漏洞發(fā)現(xiàn)者)曾提交過凱迪拉克官網(wǎng)的后臺弱口令問題����。然而時隔近兩年后,他重新去查看漏洞�,發(fā)現(xiàn)問題依然存在。
“按照專賣店乘以單數(shù)的算法��,后臺車主信息的量級在20萬以上���。網(wǎng)站泄露了經(jīng)銷商的門店����、賬號密碼等信息�,黑客如果用這些密碼登陸經(jīng)銷商后臺��,就可以拿到任意凱迪拉克車主的詳細個人資料����。”他對記者表示
更嚴重的是�����,凱迪拉克官方網(wǎng)站已經(jīng)被掛了“黑鏈”�?!昂阪湣敝傅氖莣eb服務(wù)器被黑客入侵拿下之后��,?在網(wǎng)站首頁或者其他頁面嵌入惡意代碼�����。在“愛上平頂山”展示的一張Google搜索截圖上��,凱迪拉克的官網(wǎng)確實被接入了“傳奇私服”的“黑鏈”���。
“官網(wǎng)被掛黑鏈�����,也很有可能被掛木馬病毒����。如果黑客是通過拿下shell����,即拿下提供使用者使用頁面的命令解析器的渠道來掛黑鏈,那么不僅僅所有用戶的數(shù)據(jù)庫���,甚至是整個網(wǎng)站包括服務(wù)器��,甚至內(nèi)網(wǎng)機器都不保了���?���!?張佳發(fā)指出���。
類似的問題也發(fā)生在寶馬和奔馳的網(wǎng)站上�����。
經(jīng)白帽子測試��,2012年8月提交的寶馬數(shù)據(jù)庫注冊漏洞和2013年6月提交的奔馳越權(quán)漏洞依然存在��,均有泄露大量用戶信息的風險。
梅賽德斯-奔馳公關(guān)吳遜蕾回應(yīng)本刊稱�����,奔馳公司暫時不方便回復信息泄露的問題����,“但奔馳公司始終以客戶滿意度為中心��,全力保障客戶的各方面安全���。”
“目前汽車這個行業(yè)沒有較成熟的網(wǎng)絡(luò)安全管理體系�,運營和行政人員的安全素質(zhì)都有待提高,很多車企網(wǎng)站是外包給第三方公司開發(fā)的�,沒有交付信息安全公司進行評估,就有可能留下信息安全風險����。”張佳發(fā)最后指出��。
