1轻黑、個(gè)人信息安全
共享單車實(shí)名制之后淌山,海量個(gè)人信息安全問(wèn)題應(yīng)該是運(yùn)營(yíng)單位頭等大事屯碴。
交通運(yùn)輸部起草了相關(guān)征求意見(jiàn)稿“關(guān)于鼓勵(lì)和規(guī)范互聯(lián)網(wǎng)租賃自行車發(fā)展的指導(dǎo)意見(jiàn)(征求意見(jiàn)稿)”茅逮,向社會(huì)公開征求意見(jiàn)巧涧。
其中薯蝎,主要涉及兩條,一是要求實(shí)行用戶實(shí)名制注冊(cè)谤绳,進(jìn)一步規(guī)范用車行為占锯;二是要求共享單車運(yùn)營(yíng)企業(yè)遵守國(guó)家網(wǎng)絡(luò)信息安全規(guī)定,落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度缩筛,并規(guī)定了相關(guān)信息的使用范圍消略。
據(jù)了解,目前共享單車企業(yè)30多家瞎抛,其注冊(cè)用戶已經(jīng)上億艺演。實(shí)名制涉及到了上億人次的海量信息,用戶個(gè)人信息,包含個(gè)人身份證信息钞艇、聯(lián)系電話啄寡、地址、支付賬戶等哩照,屬于個(gè)人非常隱私的信息挺物,一旦泄露,將給個(gè)人帶來(lái)不小的麻煩飘弧。
因此识藤,共享單車運(yùn)營(yíng)企業(yè)怎么樣構(gòu)建自己的網(wǎng)絡(luò)安全體系和機(jī)制,來(lái)保證個(gè)人合法權(quán)益和社會(huì)公共利益不受侵犯次伶、不被盜取痴昧,才是運(yùn)營(yíng)企業(yè)最應(yīng)該重視的事情。
https://baijiahao.baidu.com/s?id=1568264771646383&wfr=spider&for=pc
2冠王、共享單車APP存在安全漏洞赶撰,個(gè)人信息在裸奔
在近日舉行的2017國(guó)際安全極客大賽GeekPwn年中賽上,浙大計(jì)算機(jī)系畢業(yè)的女“黑客”花了不到一分鐘的時(shí)間柱彻,攻破了評(píng)委手機(jī)預(yù)裝的小鳴豪娜、永安行、享騎和百拜等4款共享單車的App哟楷。這意味著瘤载,黑客可以利用共享單車App存在的安全漏洞,用別人的賬號(hào)遠(yuǎn)程騎車卖擅,用的也是別人的錢鸣奔。最重要的是,黑客直接獲取了用戶的賬號(hào)密碼惩阶、騎行路線挎狸、GPS定位、賬號(hào)余額等個(gè)人信息琳猫,這些個(gè)人信息的泄露可能導(dǎo)致用戶經(jīng)常接到推銷電話伟叛、垃圾短信,嚴(yán)重的還有詐騙和其他App賬戶被盜的可能脐嫂。
在國(guó)際安全極客大賽上统刮,女“黑客”tyy(化名)利用共享單車App的漏洞,順利“黑”入了評(píng)委手機(jī)上的4款共享單車App账千,提取了對(duì)方包括歷史騎行路徑侥蒙、騎行時(shí)間、GPS定位匀奏、賬戶余額和注冊(cè)賬戶信息等在內(nèi)的個(gè)人信息鞭衩。
同時(shí),她將這些信息同步到了一名同伴的手機(jī)上,之后這名位于上海的同伴就拿著同款A(yù)pp论衍,用著評(píng)委被黑的賬號(hào)瑞佩,順利騎上了共享單車,而評(píng)委這邊則沒(méi)有任何提示坯台。
tyy稱炬丸,App可以這樣一直消費(fèi)下去,且被入侵的用戶不會(huì)有任何察覺(jué)蜒蕾。她表示稠炬,她用了一個(gè)月的時(shí)間看了十幾款共享單車,這種情況在共享單車App上非常普遍咪啡,目前演示了4款首启,推測(cè)另外幾款也有類似的問(wèn)題。
4月初撤摸,她首先發(fā)現(xiàn)摩拜單車存在安全漏洞毅桃,但不久后摩拜將漏洞修復(fù),她又隨機(jī)測(cè)試了眾多品牌單車愁溜,發(fā)現(xiàn)小鳴單車疾嗅、永安行外厂、享騎和百拜單車也存在該問(wèn)題冕象,這四款單車的漏洞不同,但結(jié)果相同汁蝶。
為什么這么多共享單車的App都有安全問(wèn)題渐扮?tyy表示,可能是創(chuàng)業(yè)者們都太著急了掖棉,并沒(méi)有周全細(xì)致地開發(fā)App墓律,只是想著將產(chǎn)品快速投入市場(chǎng)。
習(xí)慣設(shè)置通用賬號(hào)密碼
信息泄露風(fēng)險(xiǎn)更大
2015年的3·15晚會(huì)上幔亥,Wi-Fi的網(wǎng)絡(luò)安全問(wèn)題被推到了風(fēng)口浪尖耻讽。晚會(huì)現(xiàn)場(chǎng)的觀眾利用手機(jī)連接現(xiàn)場(chǎng)的偽裝Wi-Fi,安全工程師模仿黑客通過(guò)Wi-Fi抓取了現(xiàn)場(chǎng)觀眾手機(jī)上的照片帕棉、郵箱地址甚至密碼等信息针肥。
tyy攻破共享單車App,也是通過(guò)同一Wi-Fi下香伴,與陌生用戶手機(jī)相連慰枕,僅僅用了幾秒鐘,該用戶此前的騎行記錄便顯示在她的電腦上即纲。tyy還表示具帮,小鳴和百拜單車即使不在同一Wi-Fi下也能完成這些操作。
去年開始,杭州街頭小巷多了各種顏色的共享單車蜂厅,它們隨處可借又是無(wú)樁停車匪凡,便捷并且租金低,圈了不少粉掘猿。雖然共享單車的花費(fèi)不高锹雏,但涉及個(gè)人隱私泄露,還是讓共享單車的用戶捏把汗术奖。
記者下載并體驗(yàn)了多款共享單車App發(fā)現(xiàn)礁遵,用戶信息主要涉及三方面:用戶的手機(jī)號(hào)、地理位置信息(家庭采记、公司地址)和個(gè)人賬戶信息佣耐,部分需要實(shí)名認(rèn)證的共享單車還涉及身份證信息。
用戶的歷史騎車路徑唧龄、GPS定位兼砖、實(shí)名認(rèn)證等信息遭泄露,相當(dāng)于用戶的真實(shí)姓名既棺、手機(jī)號(hào)讽挟、住址、工作單位都被黑客所掌控丸冕。根據(jù)tyy和阿里云專家的說(shuō)法耽梅,這些信息可能會(huì)被拿到黑市上販賣,不法分子就會(huì)根據(jù)用戶地理位置展開精準(zhǔn)的賣房胖烛、賣車推銷眼姐,給用戶發(fā)送垃圾短信、垃圾郵件佩番,嚴(yán)重的還會(huì)發(fā)生詐騙及賬戶被盜众旗。
而現(xiàn)在很多用戶習(xí)慣設(shè)置一個(gè)通用賬號(hào)、密碼趟畏,即所有的App都同用一個(gè)賬號(hào)和密碼贡歧,如果黑客獲取了這部分信息,是否意味著黑客能登錄你所有的社交赋秀、購(gòu)物甚至支付App利朵?
“這取決于App的安全性,它能否有一個(gè)相應(yīng)的安全解決方案沃琅。一般來(lái)說(shuō)哗咆,App在另一臺(tái)設(shè)備登錄,都會(huì)有手機(jī)益眉、郵箱晌柬、人臉識(shí)別等驗(yàn)證方式姥份,不會(huì)有單個(gè)App的賬號(hào)密碼泄露導(dǎo)致其他App被攻破的可能,但是如果企業(yè)存在這方面的漏洞年碘,可能就有一定的風(fēng)險(xiǎn)澈歉。”阿里云安全專家說(shuō)屿衅。
http://zj.zjol.com.cn/news/641419.html
3埃难、共享單車,信息安全應(yīng)未雨綢繆
共享單車要想長(zhǎng)遠(yuǎn)發(fā)展涤久,就必須在信息安全方面未雨綢繆涡尘,因?yàn)檫@涉及到個(gè)人隱私,共享單車管理平臺(tái)必須把用戶的相關(guān)信息封存在“數(shù)據(jù)保險(xiǎn)箱”里响迂。
或許用人不以為然——不就是在注冊(cè)共享單車填寫了手機(jī)號(hào)與實(shí)名認(rèn)證嗎考抄?這樣的個(gè)人信息隨處可以,能算什么隱私蔗彤?當(dāng)然川梅,如果僅僅從手機(jī)號(hào)和實(shí)名認(rèn)證來(lái)看,這樣的個(gè)人信息確實(shí)不是多么重要的信息然遏。不過(guò)贫途,它還有一個(gè)危及到個(gè)人隱私的地方,令我們不容忽視個(gè)人隱私的重要性待侵,即不少的共享單車都自帶了GPS定位系統(tǒng)丢早。商家這樣做,目的是為了了解共享單車的具體位置诫给,防止被人為地破獲或偷盜香拉。
表面上看,共享單車的GPS定位系統(tǒng)是出于安全的需要中狂。可是扑毡,它隨時(shí)記錄了你的行蹤胃榕,你騎車經(jīng)歷過(guò)的地方,換自行車的軌跡等等瞄摊。這些數(shù)據(jù)對(duì)我們來(lái)說(shuō)勋又,那是一堆枯燥無(wú)味的數(shù)據(jù),是一堆垃圾换帜,然而楔壤,對(duì)某些別有用心的不法分子而言,可能就是難得的寶貝惯驼。這些個(gè)人信息可能會(huì)不法分子違法犯罪提供幫助蹲嚣。再者递瑰,它或許會(huì)為不信任的夫婦之間調(diào)查婚外情提供幫助∠缎螅可見(jiàn)抖部,個(gè)人騎車出行的軌跡是需要保護(hù)的個(gè)人隱私。
誠(chéng)然议惰,現(xiàn)在還沒(méi)有因用戶信息泄露而引發(fā)的負(fù)面事件慎颗,大家還沒(méi)有意識(shí)到信息泄露的嚴(yán)重性。不過(guò)言询,保護(hù)用戶信息方面俯萎,未雨綢繆絕對(duì)是正確的,等真的出現(xiàn)了惡性的負(fù)面事件运杭,再想起來(lái)彌補(bǔ)信息保護(hù)的漏洞讯屈,對(duì)受傷害的用戶來(lái)說(shuō),豈不是晚到黃花菜都涼了嗎县习?之前涮母,因?yàn)楣芾砺┒矗缂以暝浮h庭等大批酒店的開房記錄被第三方存儲(chǔ)叛本,導(dǎo)致了沸沸揚(yáng)揚(yáng)的開房記錄泄露事件,這就應(yīng)當(dāng)是個(gè)教訓(xùn)彤钟。
竊以為来候,管理好用戶的信息,我們要做好三方面的工作:首先逸雹,管理數(shù)據(jù)的機(jī)構(gòu)或個(gè)人應(yīng)當(dāng)有強(qiáng)烈的法律意識(shí)营搅,尊重個(gè)人數(shù)據(jù)和信息,不能參與販賣信息梆砸。其次转质,數(shù)據(jù)儲(chǔ)存的管理部門要經(jīng)常對(duì)直接負(fù)責(zé)人敲警鐘,不能把信息交個(gè)個(gè)人后甩手不問(wèn)帖世。第三休蟹,要購(gòu)置固若金湯的防火墻,不能輕易被黑客攻擊日矫、截獲赂弓,確保用戶信息安全。
http://review.jschina.com.cn/meitiguandian/201703/t20170311_202547.shtml
4哪轿、共享單車APP安全報(bào)告
共享單車的快速崛起盈魁,在城市出行中扮演著越發(fā)重要的角色,憑借其便捷的使用性深受市民的喜愛(ài)窃诉。共享單車的成功與互聯(lián)網(wǎng)有著密切的關(guān)系杨耙,這背后也同樣隱藏著諸多互聯(lián)網(wǎng)的安全隱患赤套,比如:敏感信息泄漏、惡意扣費(fèi)按脚、財(cái)產(chǎn)丟失等于毙。希望共享單車在提供優(yōu)質(zhì)服務(wù)的同時(shí),提升自身平臺(tái)的安全性辅搬,贏得更多用戶的信賴與認(rèn)可唯沮,占領(lǐng)更多的單車市場(chǎng)!
最近[國(guó)內(nèi)頂級(jí)的移動(dòng)安全服務(wù)商]對(duì)2017年10款熱門的共享單車APP進(jìn)行了專業(yè)的安全檢測(cè)堪遂。其結(jié)果令人有些堪憂介蛉,10款A(yù)PP的安全性都很低,甚至有沒(méi)采取任何防護(hù)措施溶褪!
以下是提供的評(píng)估報(bào)告概述與截圖币旧,根據(jù)安全得分進(jìn)行排名,看看你手機(jī)中安裝的共享單車APP能得多少分猿妈!
專業(yè)說(shuō)明:安全評(píng)估包括:權(quán)限檢測(cè)吹菱、代碼檢測(cè)、防御檢測(cè)彭则、篡改檢測(cè)和漏洞檢測(cè)五個(gè)維度鳍刷!
具體請(qǐng)看http://blog.csdn.net/yinghaiyixun/article/details/70225038
5、大熱共享單車背后的網(wǎng)絡(luò)安全數(shù)據(jù)合規(guī)問(wèn)題
在逐漸趨嚴(yán)的數(shù)據(jù)信息保護(hù)立法下俯抖,共享單車企業(yè)需要嚴(yán)格規(guī)范公民個(gè)人信息的收集输瓜,遵循合法、正當(dāng)芬萍、必要的原則尤揣,在必要的范圍內(nèi)合規(guī)使用數(shù)據(jù),落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度柬祠,禁止數(shù)據(jù)非法出境北戏,向他人提供數(shù)據(jù)時(shí)要注意數(shù)據(jù)脫敏清洗,尤其注意對(duì)涉及個(gè)人信息及國(guó)家秘密的地理信息的管理瓶盛。
http://www.sohu.com/a/155916455_400678
6最欠、共享單車二維碼成為新的詐騙工具
詐騙手段包括:收款二維碼。本用來(lái)開鎖的二維碼被不法分子用假二維碼覆蓋惩猫,讓不少用戶掃碼損失錢財(cái);釣魚網(wǎng)站:不法分子仿制共享單車官網(wǎng)頁(yè)面蚜点,以此獲取用車人的身份信息和銀行卡信息轧房;山寨木馬APP:如今共享單車均通過(guò)APP租賃,不法分子利用假二維碼绍绘,在用戶手機(jī)中植入帶有病毒的山寨APP奶镶,盜取用戶個(gè)人信息迟赃。
有人悲觀地預(yù)測(cè),上述問(wèn)題如同“死結(jié)”厂镇,如不及時(shí)解開纤壁,用不了多久就會(huì)把共享單車“困死”。
http://china.huanqiu.com/hot/2017-04/10499959.html
7捺信、全能車APP
很好奇這款只需要交一個(gè)押金就能開大部分單車的APP的工作模式酌媒,是不是會(huì)對(duì)用戶的信息安全提出挑戰(zhàn)?是不是共享單車APP們的漏洞迄靠?
OFO的負(fù)責(zé)人說(shuō)秒咨,它的工作模式是買了很多實(shí)名制的身份證,然后把這些信息拿去實(shí)名注冊(cè)掌挚,相當(dāng)于是用一個(gè)別人的認(rèn)證信息去用車雨席。
