Uber刷單升級：個人信息遭泄露 沒車也能變身車主

　　車主信息從何而來

　　根據優步官網上的注冊步驟提示，車主需要提供的資料包括郵箱、地址、司機本人駕照、銀行卡信息（包括收款人姓名、銀行名稱、開戶城市、開戶支行、銀行賬號）、車輛信息（包括品牌、型號、年份、車牌號碼）。那么賣家所提供的這些信息，尤其是車主、車輛都是從何而來？

　　有從事網絡安全的業內人士告訴騰訊科技，車輛信息泄露有很多途徑，比如車管所的信息泄露、交通違規信息泄露，以及停車數據泄露等等，“這些數據會經過好幾手倒賣，用作很多用途，用作刷單的賬號交易就是用途之一。”

　　隨后，騰訊科技通過烏云網站了解到，2015年2月，曾發生用戶資料大規模泄露，全國大量車主信息在互聯網上瘋傳，包括幾百萬車主姓名、身份證號、家庭住址、車牌號等等，并公然售賣。

圖4：烏云網站公布的全國車主數據泄露截圖（騰訊科技配圖）

圖5：烏云網站公布的全國車主數據泄露截圖（騰訊科技配圖）

　　2015年7月某省車管所多站通用管理系統存在oracle注入(打包)可泄露大約1000萬左右數據，其中包括駕駛員姓名、身份證號、駕駛車輛類型、牌照信息等，該漏洞已經交由第三方合作機構（公安部一所）處理；

　　2015年7月，上門洗車平臺呱呱洗車訂單系統淪陷，泄漏所有車主車牌、手機、住址，該漏洞已經由廠商確認。

圖6：烏云網站公布的漏洞截圖（騰訊科技配圖）

　　2015年8月，創佳車友網車輛營運系統未授權訪問漏洞導致大量車牌信息泄漏，包括車牌號，姓名，道路運輸證號等，該漏洞已交由第三方合作機構(cncert國家互聯網應急中心)處理；

　　2015年11月，某省駕駛人考試管理安全漏洞導致大量用戶敏感信息泄露，包括身份證、姓名、電話、牌照等信息，該漏洞已交由第三方合作機構（cncert國家互聯網應急中心）處理。

　　該人士告訴騰訊科技，這些漏洞都有可能導致車主信息泄露，成為車輛信息私下交易的渠道。

　　除了上述漏洞導致車主信息外泄之外，騰訊科技還發現在一些進行刷單交易的QQ群中有人大量倒買倒賣身份證號和收首二手支付寶號、郵箱號。比如就有買家表示，“出售全國真實身份證號，過不去包換，隨機名字真實身份證號一毛一個，保證沒注冊任何東西。”“新到一批50、60、70年代農村社保身份證號”等。

圖7：刷單交易群中的聊天截圖（騰訊科技配圖）

　　平臺對刷單者的攻堅戰

　　“刷單早就不是什么新鮮事，各行各業里都有。只不過是刷多刷少的問題。”多位O2O領域的創業者對騰訊科技表示。

　　而對于刷單行為，被刷的平臺恐怕也是愛恨交織：一方面是部分公司為了數據更加亮眼，主動或縱容刷單；另一方面是刷單者為了騙取公司給予的大量補貼，也會試圖通過各種渠道尋求刷單。

　　針對猖獗的刷單行為，優步也一直在不斷地更新自己的反作弊規則。比如通過更新補貼規則加大刷單難度；加強封號力度等等。

　　但“道高一尺，魔高一丈”，在刷單的世界里，總是不斷有人因為利益加入進來，而老手們和職業刷單人們也總能找到新的漏洞和方法。

　　業內人士對騰訊科技表示，一些打車軟件會采取人工審核的方式查看車主提交的證件是否齊全和準確，但不能百分百保證所有偽造證件都能查出。

　　滴滴出行也對騰訊科技表示，在缺乏政府幫助下，三證（駕駛證、身份證、行駛證）驗真對于任何企業來講，都是一個難度很高的事情，目前的人工審核可以避免大多數的虛假信息行為，我們也會通過一些合作伙伴來復核證件的真實性。而對于套牌車輛只要有相關反饋，可以馬上進行核實，滴滴也在跟政府部門進行密切溝通，希望未來有關部門可以給出行平臺更多的授權和協助。