互聯(lián)網(wǎng)漏洞曝光平臺——烏云網(wǎng)2015年5月向《消費者報道》提供的數據顯示，自2014年1月份到2015年5月上旬，共發(fā)布59個(gè)關(guān)于打車(chē)軟件的安全漏洞，涉及廠(chǎng)商多達9家，其中快的、滴滴、Uber等行業(yè)領(lǐng)先企業(yè)赫然在列。

高危漏洞頻遭忽略

在上述漏洞中，危害等級為“高”的漏洞達33個(gè)，占比55.9%；中危漏洞14個(gè)，占23.7%；低危漏洞 12個(gè)，占20.3%。其中，快的打車(chē)被發(fā)布的安全漏洞數最多，達19個(gè)(包括一號專(zhuān)車(chē)漏洞)，一嗨租車(chē)和神州租車(chē)分別以12個(gè)、10個(gè)的漏洞數緊隨其 后，而滴滴打車(chē)漏洞數則為7個(gè)。(如圖)

在漏洞類(lèi)型方面，被直接標記為“敏感信息泄露”或者“重要敏感信息泄露”的漏洞有9個(gè)，可能會(huì )造成軟件用戶(hù)信息泄露的漏洞至少達25個(gè)。

360手機安全專(zhuān)家萬(wàn)仁國告訴《消費者報道》記者，“打車(chē)軟件本身是一個(gè)應用，會(huì )有一些數據，這些數據都是在服務(wù)器上會(huì )存在的。如果這個(gè)應用不夠健全，存在的漏洞被人利用，導致拖庫，可以拿到所有的數據?！?/p>

所謂“拖庫”是指黑客入侵有價(jià)值的網(wǎng)絡(luò )站點(diǎn)，把注冊用戶(hù)的資料數據庫全部盜走的行為。烏云網(wǎng)核心白帽子“豬豬俠”認為，“軟件用戶(hù)信息泄露的根 本原因是開(kāi)發(fā)人員的安全意識不足?！彼硎?，大多數的漏洞在軟件系統設計之初就可以避免，但由于部分開(kāi)發(fā)人員不夠重視，造成軟件存在了漏洞，繼而導致用戶(hù) 信息存在了被黑客拖庫的可能性。

令人更加不安的是，在被告知軟件存在安全漏洞之后，依然有11個(gè)漏洞被相應廠(chǎng)商選擇忽略。其中，嘀嗒拼車(chē)的5個(gè)安全漏洞全部被忽略，包括了在今年3月份有白帽子發(fā)布的“嘀嗒拼車(chē)SQL注入泄露用戶(hù)敏感信息(包括車(chē)主證件， 銀行卡號等)”的漏洞。

SQL注入可以通過(guò)在Web表單中輸入(惡意)SQL語(yǔ)句，得到一個(gè)存在安全漏洞的網(wǎng)站上的數據庫。這一高危漏洞被發(fā)布者指出可能導致嘀嗒拼車(chē)用戶(hù)的銀行卡號、車(chē)主證件等信息外泄。然而這條漏洞顯示的狀態(tài)卻是“已經(jīng)通知廠(chǎng)商但廠(chǎng)商忽略漏洞”。

“漏洞忽略與否取決于漏洞對業(yè)務(wù)的影響度。比如，漏洞本身危害是不是可以直接影響服務(wù)器，以及涉及的是否是核心數據等等?！币椎接密?chē)一位不愿透露姓名的技術(shù)工程師向本刊記者表示。

被黑信息“用途”多

自2014年年初快的、滴滴兩款打車(chē)軟件的“燒錢(qián)大戰”之后，打車(chē)軟件吸引了大批的注冊用戶(hù)。毫無(wú)疑問(wèn)，這迅速聚集起來(lái)的大批量的用戶(hù)信息自然成為了不少黑客覬覦的“香餑餑”。

5月6日，北京青年報報道稱(chēng)在淘寶平臺已有賣(mài)家開(kāi)始公然出售Uber用戶(hù)信息，包括用戶(hù)姓名、手機號碼、信用卡的信息。雖然在曝光后，該商品迅速被下架，Uber相關(guān)負責人也立馬現身辟謠，但這仍然牽動(dòng)了不少用戶(hù)敏感的神經(jīng)。

淘寶網(wǎng)消費者客服人員查詢(xún)后向《消費者報道》記者證實(shí)，在2015年5月5日名為“小蛋卷家”的淘寶店鋪確實(shí)上架了“UBER用戶(hù)信息”的商品，每份一元，最終成交記錄為5筆，共27份商品被出售。

對于賣(mài)家在淘寶上公開(kāi)售賣(mài)用戶(hù)信息的違規行為，該客服人員表示，賣(mài)家在申請該店鋪的時(shí)候可能是以售賣(mài)其他正規商品的名義申請的，后來(lái)突然轉換成出售用戶(hù)信息，只能通過(guò)后續的審核進(jìn)行跟進(jìn)處理。

“一旦數據庫被拖庫之后，相關(guān)信息被公開(kāi)售賣(mài)是存在可能的。比如說(shuō)信息里有一些車(chē)主信息，如果我是保險公司，我把這個(gè)信息買(mǎi)下來(lái)之后，我可以看 看他的汽車(chē)保險狀況。如果信息里還存在用戶(hù)信用卡賬號、有效期限等信息，一旦信息被黑，不法分子就能用這些信息做黑卡，進(jìn)行盜刷?！?萬(wàn)仁國表示。

信息被黑出去之后除了拿去賣(mài)，還可以用來(lái)撞庫?！耙话愣院芏嗳说馁~號跟密碼用的都是同一個(gè)。如果我有了一個(gè)人打車(chē)軟件的賬號密碼，可以用它嘗試登陸這個(gè)人的支付寶、微信等等，一旦成功了，我就可以把賬號里的錢(qián)進(jìn)行轉賬和消費?！?萬(wàn)仁國充道。

漏洞修復全賴(lài)程序員

實(shí)際上，軟件存在安全漏洞并不是值得大驚小怪的事情。

安全顧問(wèn)、游俠安全網(wǎng)站長(cháng)張百川告訴記者，“軟件有漏洞很正常，能不能及時(shí)修復才是關(guān)鍵，軟件程序員有著(zhù)不可推卸的責任，程序員如果重視安全工作，能夠避免80%的漏洞，另外的20%，還是得靠程序員?！?/p>

當然，如果擁有用戶(hù)信息的公司重視安全工作，能夠避免大部分的漏洞，剩下的一些詬病可以通過(guò)安全管理來(lái)改善。比如，廠(chǎng)商在收到烏云網(wǎng)等平臺反饋的漏洞之后能夠及時(shí)進(jìn)行修復，就是安全管理的一部分。

有3個(gè)安全漏洞被“發(fā)現”的易到用車(chē)相關(guān)負責人向本刊回應稱(chēng)，“已有專(zhuān)業(yè)的安全人員去做一些安全工作，敏感數據的存儲都采取加密的方式。針對被發(fā)布的三個(gè)安全漏洞，易到用車(chē)已經(jīng)在第一時(shí)間處理，涉及數據是部分業(yè)務(wù)的數據”。

“軟件其實(shí)是動(dòng)態(tài)的，系統也是動(dòng)態(tài)的，沒(méi)辦法評判打車(chē)平臺是不是一直安全。原來(lái)沒(méi)有漏洞，軟件更新了，說(shuō)不定就產(chǎn)生漏洞了，所以說(shuō)軟件并沒(méi)有絕 對的安全。一般來(lái)說(shuō)用戶(hù)越多的平臺相對而言安全性會(huì )更高一些?；ヂ?lián)網(wǎng)免費，大家的選擇有很多，用腳投票是最直接的?！?萬(wàn)仁國最后對記者表示。