谁出卖了你的隐私？
——车企用户敏感信息泄露调查

｜本刊见习记者/李少展

谁出卖了你的隐私？
——车企用户敏感信息泄露调查

当你刚买完车就接到车险推销的电话时，请不要太惊讶。

因为你的个人敏感信息，很可能早已变成excel里的一行数据，被贴上1到5元不等的价签，变卖于数据黑市之上。一方面，我们当然要向数据贩子们追究责任，另一方面，我们也需要知道那些保留用户隐私数据的企业们是否足够重视“用户信息安全”。

《消费者报道》重新梳理互联网安全漏洞报告平台——乌云网上的7000多条涉及敏感信息泄露的安全漏洞发现，答案并不尽如人意。10万雪铁龙车主信息或遭泄露的同时，奔驰、宝马、凯迪拉克官方网站上的信息漏洞却两年不补。时下流行到疯狂的打车软件车主、用户信息漏洞中，滴滴、快的和优步也是“榜上有名”。

——专题执笔 李少展 刘家路

10万雪铁龙车主信息或遭泄露

｜本刊见习记者/李少展

目前汽车行业没有较成熟的网络安全管理体系，运营和行政人员的安全素质都有待提高，很多车企网站是外包给第三方公司开发的，没有交付信息安全公司进行评估，就有可能留下信息安全风险。

“一边整理车企的安全漏洞，一边觉得这可能真是个大事”。2015年5月，互联网安全漏洞报告平台——乌云网合伙人邬迪告诉《消费者报道》记者，在重新评估因车企网站漏洞而涉及到的车主信息泄露时，他觉得“超出了自己的想象”。

想象已经部分变成现实。一方面，黑客“拿下”一个个车企网站数据库，再转手交由数据贩子以每条1至5块钱的价格倒卖。另一方面，车企信息安全意识淡薄，以至于对于已知的网站漏洞长期不管不顾，任由车主信息泄露。

雪铁龙车主信息泄露规模或超10万

“全国东风雪铁龙网站后台的售前信息我都有，还可以提供即时的”，一位网名叫做“猫哥”的黑客在网络上兜售车主信息。

为了证明所言非虚，“猫哥”提供了数据库截图。截图上显示了7个城市的15个订单信息，具体包括了车主姓名、手机号码、意向购车型号。下单时间则集中在2015年5月4日晚8点以后，最新的订单信息则发生在5分钟之前。到底有多少条车主信息？黑客“猫哥”提供的数据截屏显示，其后还有540676条信息。不过黑客向记者解释，“54万条数据里重复的很多，不算重复的，有10万条售前信息”。

除几个没有拨通的电话外，经本刊记者随机电话确认，黑客提供的电话主人都是不久前购买过东风雪铁龙汽车的车主。

这可能只是冰山一角。黑客“猫哥”还向记者表示，凡是东风雪铁龙的潜在客户在易车网、汽车之家留下的订单和电话他也能查到。按照黑客提供的电话信息，一位接听电话的用户对记者表示，他刚在易车网的询价平台留下了自己的个人信息。

易车网技术人员则对本刊回应称，“易车网仅提供询价的平台入口，询价者的信息会直接发送给对应的品牌经销商，易车网不会做任何保存”。

即使是只有姓名、手机、城市和意向车款的询价信息，黑客“猫哥”已经要价一块钱一条，试驾者信息则开到了两块一条。“真正抢手的还不是售前数据，像车主信息数据比较全的，一到手就被‘秒’了”。黑客“猫哥”表示。

东风雪铁龙官网的用户信息为何能轻易地就被盗走？

黑客“猫哥”给出的答案是 “太懒”。“东风雪铁龙基本不管自己的后台，这是能轻易拿下数据的主要原因”。他说。

2015年4月29日，曾有白帽子（不恶意利用安全漏洞的黑客）向乌云平台提交名为“东风雪铁龙某后台弱口令可导致全国几百个经销商账号与大量个人数据泄露”的漏洞。

对于这个漏洞，绿盟科技NSTRT团队负责人张佳发告诉本刊记者，如有攻击者登录后台，可以看到东风雪铁龙经销商全部的敏感数据，可导致全国几百个经销商账号与大量个人数据泄露。

“该漏洞没太多技术含量，非常容易被利用”。乌云网主站运营者孟卓告诉本刊记者，“一旦这些数据落入买家手上，很多车主可能会接到卖车或者保险的推销电话骚扰。还有更加恶劣的结果可能就是保险诈骗，即以违章记录的名头来骗取违约金”。

就是这个“没有太多技术含量”的漏洞，直到2015年6月其状态仍然显示为“已经通知厂商但是厂商忽略漏洞”。

对此，东风雪铁龙公关公司——灵思公司公关梁婧回复本刊称，“东风雪铁龙明确不回应信息泄露的相关问题”。

奔驰宝马凯迪拉克官网漏洞两年不补

类似东风雪铁龙的这种“疏忽”，在一线车企中并不是孤例。

“我们发现很多车企不够重视自身的信息安全建设。从乌云白帽子提交的漏洞来看，很少有车企会在联系之后来认领，个别的甚至会主动忽略”，邬迪说。

2011年至今，白帽子在乌云平台上总共提交了有关于车企网站的58个漏洞（如图1）。其中接近一半的漏洞都可能造成网站用户的信息泄露，背后涉及到百万车主的信息安全。而绝大多数漏洞状态都是“未联系到厂商或者厂商积极忽略”。

2013年6月，乌云网ID为“爱上平顶山”的核心白帽子曾提交过凯迪拉克官网的后台弱口令漏洞。然而时隔近两年后，他重新查看漏洞，发现问题依然存在。

“按照专卖店乘以单数的算法，后台车主信息的量级在20万以上。网站泄露了经销商的门店、账号密码等信息，黑客如果用这些密码登陆经销商后台，就可以拿到任意凯迪拉克车主的详细个人资料。”他对记者表示。

更严重的是，凯迪拉克官方网站已经被挂了“黑链”。“黑链”指的是Web服务器被黑客入侵拿下之后， 在网站首页或者其他页面嵌入恶意代码。在“爱上平顶山”展示的一张Google搜索截图上，凯迪拉克的官网确实被接入了“传奇私服”的“黑链”。

“官网被挂黑链，也很有可能被挂木马病毒。如果黑客是通过拿下shell，即拿下提供使用者界面的命令解析器的渠道来挂黑链，那么不仅仅所有用户的数据库，甚至是整个网站包括服务器都不保了。”张佳发指出。

类似的问题也发生在宝马和奔驰的网站上。

经白帽子测试，2012年8月提交的宝马数据库注册漏洞和2013年6月提交的奔驰越权漏洞依然存在，均有泄露大量用户信息的风险。

梅赛德斯-奔驰公关吴逊蕾回应本刊称，奔驰公司暂时不方便回复信息泄露的问题，“但奔驰公司始终以客户满意度为中心，全力保障客户的各方面安全。”

“目前汽车行业没有较成熟的网络安全管理体系，运营和行政人员的安全素质都有待提高，很多车企网站是外包给第三方公司开发的，没有交付信息安全公司进行评估，就有可能留下信息安全风险。”张佳发最后指出。