打车软件信息安全漏洞多 用户信息被卖上淘宝（2）

SQL注入可以通过在Web表单中输入(恶意)SQL语句，得到一个存在安全漏洞的网站上的数据库。这一高危漏洞被发布者指出可能导致嘀嗒拼车用户的银行卡号、车主证件等信息外泄。然而这条漏洞显示的状态却是“已经通知厂商但厂商忽略漏洞”。

“漏洞忽略与否取决于漏洞对业务的影响度。比如，漏洞本身危害是不是可以直接影响服务器，以及涉及的是否是核心数据等等。”易到用车一位不愿透露姓名的技术工程师向本刊记者表示。

被黑信息“用途”多

自2014年年初快的、滴滴两款打车软件的“烧钱大战”之后，打车软件吸引了大批的注册用户。毫无疑问，这迅速聚集起来的大批量的用户信息自然成为了不少黑客觊觎的“香饽饽”。

5月6日，北京青年报报道称在淘宝平台已有卖家开始公然出售Uber用户信息，包括用户姓名、手机号码、信用卡的信息。虽然在曝光后，该商品迅速被下架，Uber相关负责人也立马现身辟谣，但这仍然牵动了不少用户敏感的神经。

淘宝网消费者客服人员查询后向《消费者报道》记者证实，在2015年5月5日名为“小蛋卷家”的淘宝店铺确实上架了“UBER用户信息”的商品，每份一元，最终成交记录为5笔，共27份商品被出售。

对于卖家在淘宝上公开售卖用户信息的违规行为，该客服人员表示，卖家在申请该店铺的时候可能是以售卖其他正规商品的名义申请的，后来突然转换成出售用户信息，只能通过后续的审核进行跟进处理。