趙乃育　繪

    《經(jīng)濟參考報》記者日前在采訪(fǎng)中了解到，由于車(chē)企信息安全意識淡薄，對已知的網(wǎng)站漏洞長(cháng)期不管不顧，任由車(chē)主信息泄露，已對廣大購車(chē)消費者的安全造成巨大威脅。

　　車(chē)主信息黑市標價(jià)　“每條1至5元”

　　記者通過(guò)補天平臺查閱得知，存在漏洞并可能產(chǎn)生大量車(chē)主個(gè)人隱私信息泄露的，包括一汽豐田、長(cháng)安汽車(chē)、上海大眾、捷豹等多家車(chē)企，同時(shí)還包括第一汽車(chē)資訊網(wǎng)、我愛(ài)汽車(chē)網(wǎng)等多家知名汽車(chē)網(wǎng)站。
　　在“白帽子”（網(wǎng)絡(luò )安全術(shù)語(yǔ)，指可以識別計算機系統或網(wǎng)絡(luò )系統中安全漏洞的人，但這類(lèi)人不會(huì )惡意利用漏洞，而是發(fā)布漏洞信息，幫助當事方及時(shí)修復漏洞）于補天平臺上提交的漏洞顯示，長(cháng)安汽車(chē)某系統漏洞或將導致全國近千家代理商、百萬(wàn)以上買(mǎi)家檔案信息泄露；一汽豐田的漏洞則可能導致大量經(jīng)銷(xiāo)商員工信息和近10萬(wàn)客戶(hù)信息的泄露。
　　而這僅是冰山一角，記者同時(shí)從烏云平臺處了解到，2011年至今，“白帽子”在烏云平臺上共提交有關(guān)于車(chē)企網(wǎng)站的漏洞達58個(gè)，其中近一半的漏洞都可能造成網(wǎng)站用戶(hù)的信息泄露，背后涉及到百萬(wàn)車(chē)主的信息安全，但截至目前，包括凱迪拉克弱口令、寶馬數據庫注冊漏洞和奔馳越權漏洞依然存在，均有泄露大量用戶(hù)信息的風(fēng)險。
　　與此同時(shí)，在黑市上，車(chē)主個(gè)人隱私信息倒賣(mài)已成為常態(tài)�！督�(jīng)濟參考報》記者了解到，一般而言，黑客“拿下”車(chē)企網(wǎng)站數據庫，再轉手交由數據販子以每條1至5元的價(jià)格倒賣(mài)，這其中包括車(chē)主個(gè)人姓名、電話(huà)、購買(mǎi)車(chē)型、訂單，甚至個(gè)人身份證號、住址等詳細信息。令人擔憂(yōu)的是，一旦這些數據落入買(mǎi)家手中，車(chē)主輕則會(huì )接到賣(mài)車(chē)或保險的推銷(xiāo)電話(huà)，重則可能遭遇保險詐騙，即以違章記錄的名頭騙取違約金等。

　　廠(chǎng)商“冷對”漏洞　車(chē)聯(lián)網(wǎng)潛藏巨大風(fēng)險

　　值得注意的是，這些泛濫行業(yè)的漏洞并未引起車(chē)企重視，以“白帽子”提交的漏洞反饋情況來(lái)看，絕大多數顯示為“未聯(lián)系到廠(chǎng)商或廠(chǎng)商積極忽略”。
　　記者采訪(fǎng)中了解到，隨著(zhù)車(chē)聯(lián)網(wǎng)技術(shù)的快速發(fā)展和普及，通過(guò)入侵車(chē)聯(lián)網(wǎng)系統，盜取用戶(hù)信息的現象日漸增多。由此，車(chē)企的安全漏洞不僅會(huì )造成用戶(hù)信息泄露，更可能導致車(chē)輛被盜、危及行車(chē)安全等情況的發(fā)生。
　　360安全專(zhuān)家裴智勇在接受《經(jīng)濟參考報》記者采訪(fǎng)時(shí)表示，從協(xié)助一些廠(chǎng)商進(jìn)行的車(chē)聯(lián)網(wǎng)安全監測來(lái)看，目前車(chē)聯(lián)網(wǎng)系統普遍存在如下安全問(wèn)題：
　　——登錄系統缺乏有效的鑒權管理，使得攻擊者可非法查看大量車(chē)主信息，如車(chē)牌、發(fā)動(dòng)機號、行駛里程、聯(lián)系方式等；
　　——車(chē)聯(lián)網(wǎng)系統存在漏洞，可能給車(chē)主本人帶來(lái)人身安全的威脅。如某些車(chē)聯(lián)網(wǎng)系統中，黑客可通過(guò)云端服務(wù)器向汽車(chē)發(fā)送指令，使汽車(chē)儀表盤(pán)顯示異常，引發(fā)車(chē)主在駕駛過(guò)程中的恐慌。在某些系統中，黑客還可通過(guò)服務(wù)器向汽車(chē)下達剎車(chē)指令，從而在高速行駛中突然剎車(chē)，造成危險；
　　——某些車(chē)載系統存在安全漏洞，致使攻擊者可在沒(méi)有鑰匙的情況下，打開(kāi)車(chē)門(mén)、開(kāi)啟天窗，閃爍車(chē)燈，甚至發(fā)動(dòng)汽車(chē)。同時(shí)一些智能車(chē)載系統，也可能被植入木馬程序，從而造成車(chē)主信息泄露和駕駛的風(fēng)險；
　　——目前一些智能汽車(chē)已可用手機進(jìn)行遙控，若手機本身感染木馬病毒，則不僅可能造成車(chē)主信息泄露，還可能使得汽車(chē)存在被盜風(fēng)險。
　　裴智勇建議消費者，應加強個(gè)人信息的保護意識，一旦發(fā)生買(mǎi)車(chē)后大量廣告信息涌入，應及時(shí)向工商部門(mén)或消費者協(xié)會(huì )等組織舉報，也可通過(guò)安裝手機安全軟件來(lái)標記構成嚴重騷擾的電話(huà)號碼或將其加入黑名單。同時(shí)，在購車(chē)時(shí)，消費者應明確向銷(xiāo)售商要求不得向第三方轉讓其個(gè)人信息，并可將相關(guān)要求寫(xiě)入購車(chē)合同，從而在最大程度上維護自身合法權益。

　　法律存“空白”　應明確企業(yè)責任

　　2015年中消協(xié)發(fā)布的《2014年度消費者個(gè)人信息網(wǎng)絡(luò )安全報告》顯示，網(wǎng)絡(luò )針對消費者個(gè)人信息“竊取”和“非法使用”的黑色產(chǎn)業(yè)鏈呈現爆發(fā)性增長(cháng)態(tài)勢。有2/3的消費者在接受調查時(shí)明確表示，過(guò)去一年內個(gè)人信息曾被泄露或竊取。
　　當個(gè)人信息被泄露或竊取后，八成受訪(fǎng)者受到廣告（電話(huà)、短信、郵件等形式）騷擾，大大妨礙了消費者的正常生活。浪費時(shí)間和精力、學(xué)習或工作受到影響的占比也較多，分別為49.37%、34.94%，還有33.14%的受訪(fǎng)者遭受過(guò)經(jīng)濟損失和人身傷害。
　　信息安全專(zhuān)家曹岳在接受《經(jīng)濟參考報》記者采訪(fǎng)時(shí)表示，個(gè)人信息作為一種虛擬財產(chǎn)主體，其泄漏毫無(wú)疑問(wèn)會(huì )使消費者權益受損，例如經(jīng)常會(huì )接到一些騷擾電話(huà)，但是否為企業(yè)對消費者權益造成的侵犯，還須進(jìn)一步界定。
　　中消協(xié)副會(huì )長(cháng)兼秘書(shū)長(cháng)常宇表示，近來(lái)個(gè)人信息泄露事件的頻發(fā)，對消費者造成了金融資產(chǎn)和個(gè)人信息安全等多方面的危害，消費者個(gè)人信息保護面臨防范難、舉證難、索賠難等問(wèn)題，須動(dòng)員各方力量，盡快從制度建設、法律措施、企業(yè)責任、消費者自我防范等多方面筑牢保護的藩籬。
　　記者注意到，目前對于個(gè)人信息的法律保護仍處空白。據悉，我國最早的個(gè)人信息立法程序始于2003年，國務(wù)院當年委托有關(guān)專(zhuān)家起草《個(gè)人信息保護法》，2005年專(zhuān)家建議稿完成，并提交國務(wù)院審議。但自此之后該法律即停擺十年，再無(wú)下文。2012年12月28日，全國人大常委會(huì )通過(guò)《關(guān)于加強網(wǎng)絡(luò )信息保護的決定》后，較為明確地為網(wǎng)絡(luò )個(gè)人信息保護提供了法律依據，但也僅僅規定了主動(dòng)侵權所應承擔的責任，并未規定被動(dòng)侵權的部分。
　　一位專(zhuān)家表示，網(wǎng)站主動(dòng)收集用戶(hù)信息，并用于非法用途，肯定要承擔侵權責任，但如果網(wǎng)站被黑客攻破，造成用戶(hù)信息泄露，則屬于過(guò)失泄露，其應承擔的責任很難界定。信息泄露一旦發(fā)生，追責將很困難，由此應盡快確立責任人制度，明確企業(yè)責任，倒逼企業(yè)投入更多資金和精力在信息安全防護上。