打车软件信息安全漏洞多 用户信息被卖上淘宝

时下，打车软件因其快捷、便利而大受欢迎，但“火爆”背后存在的安全问题也逐渐暴露出来，用户的信息安全更是备受关注。

互联网漏洞曝光平台——乌云网2015年5月向《消费者报道》提供的数据显示，自2014年1月份到2015年5月上旬，共发布59个关于打车软件的安全漏洞，涉及厂商多达9家，其中快的、滴滴、Uber等行业领先企业赫然在列。

在上述漏洞中，危害等级为“高”的漏洞达33个，占比55.9%；中危漏洞14个，占23.7%；低危漏洞12个，占20.3%。其中，快的打车被发布的安全漏洞数最多，达19个(包括一号专车漏洞)，一嗨租车和神州租车分别以12个、10个的漏洞数紧随其后，而滴滴打车漏洞数则为7个。

在漏洞类型方面，被直接标记为“敏感信息泄露”或者“重要敏感信息泄露”的漏洞有9个，可能会造成软件用户信息泄露的漏洞至少达25个。

360手机安全专家万仁国告诉《消费者报道》记者，“打车软件本身是一个应用，会有一些数据，这些数据都是在服务器上会存在的。如果这个应用不够健全，存在的漏洞被人利用，导致拖库，可以拿到所有的数据。”

所谓“拖库”是指黑客入侵有价值的网络站点，把注册用户的资料数据库全部盗走的行为。乌云网核心白帽子“猪猪侠”认为，“软件用户信息泄露的根本原因是开发人员的安全意识不足。”他表示，大多数的漏洞在软件系统设计之初就可以避免，但由于部分开发人员不够重视，造成软件存在了漏洞，继而导致用户信息存在了被黑客拖库的可能性。

令人更加不安的是，在被告知软件存在安全漏洞之后，依然有11个漏洞被相应厂商选择忽略。其中，嘀嗒拼车的5个安全漏洞全部被忽略，包括了在今年3月份有白帽子发布的“嘀嗒拼车SQL注入泄露用户敏感信息(包括车主证件，银行卡号等)”的漏洞。