泄露的个人信息可用于Uber刷单

    在中国，媒体经常报道某应用或网站因漏洞问题，造成上百万或上千万的个人隐私信息泄露。这些泄露的隐私信息可能会给受害人造成经济损失、广告骚扰、敲诈勒索等伤害。近期发现Uber司机利用购买的优步账号，疯狂的刷单获利。给Uber公司造成了上百万的额外损失，也严重侵犯了个人隐私。

    一位优步司机说到：“我每天使用一个新的优步账号，这样完成20单就会返还500元，而买这个账号只需要150元”。他表示，有专门的渠道购买账号，虽然乘客叫车成功之后软件上所显示的联系电话、姓名和车号，但是“没关系，我可以主动联系乘客，他们也不会十分介意。”这位司机除了每天购买和冒用全新的司机账号之外，也会使用新的银行卡进行绑定。而且，据这位司机介绍“这种情况非常普遍”。

    目前优步、滴滴、一号专车等软件都存在被刷单现象，手段大同小异，由于优步补贴最高，刷单手基本上都在刷优步的单，只有在滴滴提供高补贴或者早晚高峰的时候才会刷一下。

    刷单手使用的优步账号主要是通过淘宝等渠道购买，那么淘宝上销售的优步账号又从何而来呢？几维安全通过调查得知优步官网上的注册步骤提示，车主需要提供的资料包括邮箱、地址、司机本人驾照、银行卡信息（包括收款人姓名、银行名称、开户城市、开户支行、银行账号）、车辆信息（包括品牌、型号、年份、车牌号码）。那么淘宝上卖家所提供的这些信息，尤其是车主、车辆都是从何而来？

    几维安全的技术人员提到：车辆信息泄露有很多途径，比如车管所的信息泄露、交通违规信息泄露，以及停车数据泄露等等，这些数据会经过好几手倒卖，其用途很多，用于刷单的账号交易就是用途之一。

    几维安全通过乌云网了解到：

    2015年2月，曾发生用户资料大规模泄露，全国大量车主信息在互联网上疯传，包括几百万车主姓名、身份证号、家庭住址、车牌号等等，并公然售卖；

    2015年7月，某省车管所多站通用管理系统存在oracle注入(打包)可泄露大约1000万左右数据，其中包括驾驶员姓名、身份证号、驾驶车辆类型、牌照信息等，该漏洞已经交由第三方合作机构（公安部一所）处理；

    2015年7月，上门洗车平台呱呱洗车订单系统沦陷，泄漏所有车主车牌、手机、住址，该漏洞已经由厂商确认；        

    2015年8月，创佳车友网车辆营运系统未授权访问漏洞导致大量车牌信息泄漏，包括车牌号，姓名，道路运输证号等，该漏洞已交由第三方合作机构(cncert国家互联网应急中心)处理；

    2015年11月，某省驾驶人考试管理安全漏洞导致大量用户敏感信息泄露，包括身份证、姓名、电话、牌照等信息，该漏洞已交由第三方合作机构（cncert国家互联网应急中心）处理。

    这些漏洞都有可能导致车主信息泄露，成为车辆信息私下交易的渠道。

    用户的个人信息遭受泄露的情况如此频繁、严重，身在移动互联网时代，对个人的隐私不得不堪忧！为了保护个人隐私信息，几维安全目前已推出移动应用安全加固方案，保护应用不被破解，保护用户隐私不被泄漏，营造一个和谐健康的移动互联网生态！