亚洲第一极品精品无码久久,色偷偷av男人的天堂,华人国产在线91精品资源,亚洲中文字幕一区二区在线看

2024年11月02日 星期六

10萬雪鐵龍車主信息或遭泄露 奔馳官網(wǎng)漏洞不補(bǔ)

發(fā)布時(shí)間:2015-06-24 10:55:59  來源:消費(fèi)者報(bào)道  作者:李少展  責(zé)任編輯:王庭

  2015年5月,互聯(lián)網(wǎng)安全漏洞報(bào)告平臺(tái)——烏云網(wǎng)合伙人鄔迪告訴記者,在重新評(píng)估因車企網(wǎng)站漏洞而涉及到的車主信息泄露時(shí),他覺得“超出了自己的想象”。奔馳寶馬凱迪拉克官網(wǎng)漏洞兩年不補(bǔ)類似東風(fēng)雪鐵龍的這種“疏忽”,在一線車企中并不是孤例。

  “一邊整理車企的安全漏洞,一邊覺得這可能真是個(gè)大事”。

  2015年5月,互聯(lián)網(wǎng)安全漏洞報(bào)告平臺(tái)——烏云網(wǎng)合伙人鄔迪告訴記者,在重新評(píng)估因車企網(wǎng)站漏洞而涉及到的車主信息泄露時(shí),他覺得“超出了自己的想象”。

  其實(shí)想象已經(jīng)部分變成現(xiàn)實(shí)。一方面,黑客“拿下”一個(gè)個(gè)車企網(wǎng)站數(shù)據(jù)庫,再轉(zhuǎn)手交由數(shù)據(jù)販子以每條1至5塊錢的價(jià)格倒賣。另一方面,車企信息安全意識(shí)淡薄,以至于對(duì)于已知的網(wǎng)站漏洞長(zhǎng)期不管不顧,任由車主信息泄露。

  雪鐵龍車主信息泄露規(guī)模或超10萬

  “全國東風(fēng)雪鐵龍網(wǎng)站后臺(tái)的售前信息我都有,還可以提供即時(shí)的”,一位網(wǎng)名叫做“貓哥”的黑客在網(wǎng)絡(luò)上兜售車主信息。

  為了證明所言非虛,“貓哥”提供了數(shù)據(jù)庫截圖。截圖上顯示了7個(gè)城市的15個(gè)訂單信息,具體包括了車主姓名、手機(jī)號(hào)碼、意向購車型號(hào)。下單時(shí)間則集中在2015年5月4日晚8點(diǎn)以后,最新的訂單信息則剛剛發(fā)生在5分鐘之前。那么到底有多少條車主信息?黑客“貓哥”提供的數(shù)據(jù)截屏顯示,其后還有540676條信息。不過黑客向本刊記者解釋,“54萬條數(shù)據(jù)里重復(fù)的很多,不算重復(fù)的,有10萬條售前信息”。

  除幾個(gè)沒有撥通的電話外,經(jīng)本刊記者隨機(jī)電話確認(rèn),黑客提供的電話主人都是不久前購買過東風(fēng)雪鐵龍汽車的車主。

  這可能只是冰山一角。黑客“貓哥”還向記者表示,凡是東風(fēng)雪鐵龍的潛在客戶在易車網(wǎng)、汽車之家留下的訂單和電話他也能查到。按照黑客提供的電話信息,一位接聽電話的用戶對(duì)記者表示,他剛在易車網(wǎng)的詢價(jià)平臺(tái)留下了自己的個(gè)人信息。

  易車網(wǎng)技術(shù)人員則對(duì)回應(yīng)稱,“易車網(wǎng)僅提供詢價(jià)的平臺(tái)入口,詢價(jià)者的信息會(huì)直接發(fā)送給對(duì)應(yīng)的品牌經(jīng)銷商,易車網(wǎng)不會(huì)做任何保存”。

  即使是只有姓名、手機(jī)、城市和意向車款的詢價(jià)信息,黑客“貓哥”已經(jīng)要價(jià)一塊錢一條,試駕者信息則開到了兩塊一條。“真正搶手的還不是售前數(shù)據(jù),其他信息數(shù)據(jù)比較全的,一到手就被‘秒’了”。黑客“貓哥”表示。

  東風(fēng)雪鐵龍官網(wǎng)的用戶信息為何能輕易地就被盜走?

  黑客“貓哥”給出的答案是“太懶”。“東風(fēng)雪鐵龍基本不管自己的后臺(tái),這是能輕易拿下數(shù)據(jù)的主要原因”。他說。

  2015年4月29日,曾有白帽子(不惡意利用安全漏洞的黑客)向?yàn)踉破脚_(tái)提交名為“東風(fēng)雪鐵龍某后臺(tái)弱口令可導(dǎo)致全國幾百個(gè)經(jīng)銷商賬號(hào)與大量個(gè)人數(shù)據(jù)泄露”的漏洞。

  對(duì)于這個(gè)漏洞,綠盟科技NSTRT團(tuán)隊(duì)負(fù)責(zé)人張佳發(fā)告訴本刊記者,如有攻擊者登錄后臺(tái),可以看到東風(fēng)雪鐵龍經(jīng)銷商全部的敏感數(shù)據(jù),可導(dǎo)致全國幾百個(gè)經(jīng)銷商賬號(hào)與大量個(gè)人數(shù)據(jù)泄露。

  “該漏洞沒太多技術(shù)含量,非常容易被利用”。烏云網(wǎng)主站運(yùn)營者孟卓告訴本刊記者,“一旦這些數(shù)據(jù)落入買家手上,很多車主可能會(huì)接到賣車或者保險(xiǎn)的推銷電話騷擾。還有更加惡劣的結(jié)果可能就是保險(xiǎn)詐騙,即以違章記錄的名頭來騙取違約金”。

  可就是這個(gè)“沒有太多技術(shù)含量”的漏洞,直到2015年6月其狀態(tài)仍然顯示為“已經(jīng)通知廠商但是廠商忽略漏洞”。

  對(duì)此,東風(fēng)雪鐵龍公關(guān)公司——靈思公司公關(guān)梁婧回復(fù)本刊稱,“東風(fēng)雪鐵龍明確不回應(yīng)信息泄露的相關(guān)問題”。

  奔馳寶馬凱迪拉克官網(wǎng)漏洞兩年不補(bǔ)

  類似東風(fēng)雪鐵龍的這種“疏忽”,在一線車企中并不是孤例。

  “我們發(fā)現(xiàn)很多車企不夠重視自身的信息安全建設(shè)。從烏云白帽子提交的漏洞來看,很少有車企會(huì)在聯(lián)系之后來認(rèn)領(lǐng),個(gè)別的甚至?xí)鲃?dòng)忽略”,鄔迪說。

  2011年至今,白帽子在烏云平臺(tái)上總共提交了有關(guān)于車企網(wǎng)站的58個(gè)漏洞。其中接近一半的漏洞都可能造成網(wǎng)站用戶的信息泄露,背后涉及到百萬車主的信息安全。而絕大多數(shù)漏洞狀態(tài),都是“未聯(lián)系到廠商或者廠商積極忽略”。

  2013年6月,烏云網(wǎng)ID為“愛上平頂山”的核心白帽子(平臺(tái)漏洞發(fā)現(xiàn)者)曾提交過凱迪拉克官網(wǎng)的后臺(tái)弱口令問題。然而時(shí)隔近兩年后,他重新去查看漏洞,發(fā)現(xiàn)問題依然存在。

  “按照專賣店乘以單數(shù)的算法,后臺(tái)車主信息的量級(jí)在20萬以上。網(wǎng)站泄露了經(jīng)銷商的門店、賬號(hào)密碼等信息,黑客如果用這些密碼登陸經(jīng)銷商后臺(tái),就可以拿到任意凱迪拉克車主的詳細(xì)個(gè)人資料。”他對(duì)記者表示

  更嚴(yán)重的是,凱迪拉克官方網(wǎng)站已經(jīng)被掛了“黑鏈”。“黑鏈”指的是web服務(wù)器被黑客入侵拿下之后,?在網(wǎng)站首頁或者其他頁面嵌入惡意代碼。在“愛上平頂山”展示的一張Google搜索截圖上,凱迪拉克的官網(wǎng)確實(shí)被接入了“傳奇私服”的“黑鏈”。

  “官網(wǎng)被掛黑鏈,也很有可能被掛木馬病毒。如果黑客是通過拿下shell,即拿下提供使用者使用頁面的命令解析器的渠道來掛黑鏈,那么不僅僅所有用戶的數(shù)據(jù)庫,甚至是整個(gè)網(wǎng)站包括服務(wù)器,甚至內(nèi)網(wǎng)機(jī)器都不保了。” 張佳發(fā)指出。

  類似的問題也發(fā)生在寶馬和奔馳的網(wǎng)站上。

  經(jīng)白帽子測(cè)試,2012年8月提交的寶馬數(shù)據(jù)庫注冊(cè)漏洞和2013年6月提交的奔馳越權(quán)漏洞依然存在,均有泄露大量用戶信息的風(fēng)險(xiǎn)。

  梅賽德斯-奔馳公關(guān)吳遜蕾回應(yīng)本刊稱,奔馳公司暫時(shí)不方便回復(fù)信息泄露的問題,“但奔馳公司始終以客戶滿意度為中心,全力保障客戶的各方面安全。”

  “目前汽車這個(gè)行業(yè)沒有較成熟的網(wǎng)絡(luò)安全管理體系,運(yùn)營和行政人員的安全素質(zhì)都有待提高,很多車企網(wǎng)站是外包給第三方公司開發(fā)的,沒有交付信息安全公司進(jìn)行評(píng)估,就有可能留下信息安全風(fēng)險(xiǎn)。”張佳發(fā)最后指出。

  • 股票名稱 最新價(jià) 漲跌幅
  • <nav id="ccccc"></nav>
  • <sup id="ccccc"></sup>
    <nav id="ccccc"></nav>
    <sup id="ccccc"></sup>
    <nav id="ccccc"><sup id="ccccc"></sup></nav>
  • <sup id="ccccc"><code id="ccccc"></code></sup>
  • <nav id="ccccc"><sup id="ccccc"></sup></nav>