滴滴、Uber等出行平台,凭借一天烧几千万美元的高姿态,受用户追捧,让司机们眼热。然而,迅速聚集起来的大量用户信息更成为了不少黑客觊觎的“香饽饽”。
据悉,专车平台迅速聚集起来的大量用户信息让不少黑客觊觎。而互联网漏洞曝光平台近日提供的数据显示,包括快的、滴滴、Uber等多个打车软件存在安全漏洞,可能造成用户敏感信息泄露。
网店出售专车司机与用户信息?
日前,名为“小蛋卷家”的淘宝店铺就上架了标称“uber用户信息”的商品,每份一元。随后,该店铺被查封关闭。截至记者发稿前,淘宝方面表示:“一旦发现此类商品上架,会迅速进行下架处理”,但未对成交的具体信息作出回应。
根据其他媒体报道,淘宝客服曾证实:该交易标称是“北京、上海、广州、深圳、杭州、成都、天津等地的用户信息”,包括用户姓名、手机号码、信用卡等,最终成交记录为5笔,共27份商品被出售。
至记者截稿前,Uber方面未对此事作出回应。
不过,这并非Uber的用户信息第一次被传泄露。Uber的数据隐私管理顾问Katherine在一份声明中称,公司在去年9月17日发现了疑似信息泄露,因为其中一个数据库出现了“成功解锁”的状态。经过进一步调查,确认一个匿名第三方组织在去年5月曾入侵数据库。这个数据库包含大约50000个过去和现任Uber司机的名字以及驾驶证号。
另有消息称,早前,在网上有售Uber有效账号,账号售价为一美元或五美元。
应用不健全 可导致用户信息泄露
日前,根据互联网漏洞曝光平台提供的数据显示,自2014年1月到2015年5月上旬,共发布59个关于打车软件的安全漏洞,涉及厂商多达9家,其中快的、滴滴、Uber等。据统计,快的打车被发布的安全漏洞数最多,达19个(包括一号专车),一嗨租车和神州租车分别以12个、10个的漏洞数紧随其后,滴滴打车漏洞数则为7个。
在漏洞类型方面,被直接标记为“敏感信息泄露”或者“重要敏感信息泄露”的漏洞有9个,可能会造成软件用户信息泄漏的漏洞至少达25个。此前,快的就被曝出“在支付宝交易记录中可以查看到你付款过的司机身份证号码”的信息泄漏问题。
据了解,注册用户时,平台方会收集用户的姓名、电子邮箱、国家、语言、密码、移动电话号码、IP地址、MAC地址等信息,一些平台还收集信用卡号、到期日和安全码。专车平台在提供服务、处理款项支付、进行数据库管理、网页分析及完善等过程中都会涉及相关信息的传输和使用。虽然平台方表示会采取“加密、防火墙和SSL(安全套接层协议),以及对数据存储地的物理保护措施”,但一手机应用安全专家表示,专车App本身就拥有数据,但若服务器或应用本身不够健全,漏洞就会被人利用。
Uber在其官方平台发布的《隐私声明》指出:“虽然加密技术是有效的,安全保障系统还是可被破解。我们无法保障数据库的绝对安全,也无法保障您提供的信息在互联网上传至我们时不会被截获,用户在向优步进行数据传输时的风险由用户自行承担。”
业内人士认为,面对平台所谓的“免责”,消费者应尽量在安全的环境下进行信息登记,保障自己的利益。
专家提醒消费者尽量选择用户数量多的平台,并减少关联微博等个人信息。
出租车公司须为营运的出租车购买责任保险,一旦发生交通安全事故,司机和乘客可以按照事故认定和保险理赔程序保障自身利益。不过,有消费者认为,“虽然平台公司说买了保险,出了事情会赔,但感觉很困难”。由于专车是以“租赁车”的形式提供客运经营服务,因此一旦发生交通安全事故等,将面临责任认定不清的问题,存在较大的法律风险。
广东天穗律师事务所律师认为,法律上专车不属于专车软件公司,而属于车主,但专车软件服务商在交易上也有参与利益分配。因此,如果发生交通事故,乘客受到的损害在车辆所投保险无法赔付时,应当由专车软件服务商及车主按照责任比例承担连带赔偿责任。
律师提醒,乘坐专车时,一定要保留相应的订单凭证及支付证明,同时记住车牌号。“如出现事故时司机‘跑路’,立即报警,委托律师找寻相应的车辆登记信息,及时向保险公司或车主进行索赔维权。如挂靠的中介公司或专车软件服务商有参与利益分配,则也应承担相应的赔偿责任。”
对于“绕路”的问题,乘客可以拨打软件平台的客服热线进行投诉和处理。对于使用没有统一售后服务团队的打车软件而言,乘客将可能投诉无门。
另一方面,专车司机也紧张自身安全。面对第三方平台,司机如何维护自己的利益?专家建议司机应掌握基本的逃生方法,最好在车内安装快捷求救和报警按钮。
同时建议司机购买人身安全险和相关配套保险。“即便拉客属非法运营,也不能成为保险公司拒绝理赔的理由。”
E辣评
不出意料,火爆的专车补贴竞争背后,又催生了买卖用户信息“刷单”抢补贴的“黑经济”。专车用户信息成为“唐僧肉”,被各种电商网站、微信群、QQ群倒卖。估值高达500亿美元的Uber今年将在中国市场投入70亿元砸未来,与它“死磕”的滴滴快的的估值也超过120亿美元。两家公司估值的飙升,背后都是出门就App叫车的用户的功劳。
信息被倒卖,绝不只是Uber一家。诡异的是,Uber、滴滴等估值暴涨,依赖于“共享经济”的互联网+新模式,却最终落入信息泄露的旧模式的窠臼,这不能不说是Uber们的败笔。如果用传统的手段来解决问题,将事后监管责任丢给主管部委,显然没有新意。
现在的问题是,Uber们正在“耍赖”。在司乘纠纷中,专车App以“平台方”之身超然事外,虽然在当下法律面前颇能钻空子,但在网新模式创造新经济的口号下,显得虚伪。“名利我双收,责任义务你去背”必然不可持续。
而一条可靠的路径是,互联网思维既然能创造“共享经济”模式,且Uber们也正在享受由此带来的红利,那么它们理应能内生出“共享责任”的模式,以技术、架构、大数据挖掘创新等为基础,事前堵住信息泄露的漏洞。为传统行业提供新的服务思路和解决问题的能力,这应该成为专车经济的重要衍生品,而不能遇见责任龟缩到传统行业中来。