车主信息从何而来
根据优步官网上的注册步骤提示,车主需要提供的资料包括邮箱、地址、司机本人驾照、银行卡信息(包括收款人姓名、银行名称、开户城市、开户支行、银行账号)、车辆信息(包括品牌、型号、年份、车牌号码)。那么卖家所提供的这些信息,尤其是车主、车辆都是从何而来?
有从事网络安全的业内人士告诉腾讯科技,车辆信息泄露有很多途径,比如车管所的信息泄露、交通违规信息泄露,以及停车数据泄露等等,“这些数据会经过好几手倒卖,用作很多用途,用作刷单的账号交易就是用途之一。”
随后,腾讯科技通过乌云网站了解到,2015年2月,曾发生用户资料大规模泄露,全国大量车主信息在互联网上疯传,包括几百万车主姓名、身份证号、家庭住址、车牌号等等,并公然售卖。
图4:乌云网站公布的全国车主数据泄露截图(腾讯科技配图)
图5:乌云网站公布的全国车主数据泄露截图(腾讯科技配图)
2015年7月某省车管所多站通用管理系统存在oracle注入(打包)可泄露大约1000万左右数据,其中包括驾驶员姓名、身份证号、驾驶车辆类型、牌照信息等,该漏洞已经交由第三方合作机构(公安部一所)处理;
2015年7月,上门洗车平台呱呱洗车订单系统沦陷,泄漏所有车主车牌、手机、住址,该漏洞已经由厂商确认。
图6:乌云网站公布的漏洞截图(腾讯科技配图)
2015年8月,创佳车友网车辆营运系统未授权访问漏洞导致大量车牌信息泄漏,包括车牌号,姓名,道路运输证号等,该漏洞已交由第三方合作机构(cncert国家互联网应急中心)处理;
2015年11月,某省驾驶人考试管理安全漏洞导致大量用户敏感信息泄露,包括身份证、姓名、电话、牌照等信息,该漏洞已交由第三方合作机构(cncert国家互联网应急中心)处理。
该人士告诉腾讯科技,这些漏洞都有可能导致车主信息泄露,成为车辆信息私下交易的渠道。
除了上述漏洞导致车主信息外泄之外,腾讯科技还发现在一些进行刷单交易的QQ群中有人大量倒买倒卖身份证号和收首二手支付宝号、邮箱号。比如就有买家表示,“出售全国真实身份证号,过不去包换,随机名字真实身份证号一毛一个,保证没注册任何东西。”“新到一批50、60、70年代农村社保身份证号”等。
图7:刷单交易群中的聊天截图(腾讯科技配图)
平台对刷单者的攻坚战
“刷单早就不是什么新鲜事,各行各业里都有。只不过是刷多刷少的问题。”多位O2O领域的创业者对腾讯科技表示。
而对于刷单行为,被刷的平台恐怕也是爱恨交织:一方面是部分公司为了数据更加亮眼,主动或纵容刷单;另一方面是刷单者为了骗取公司给予的大量补贴,也会试图通过各种渠道寻求刷单。
针对猖獗的刷单行为,优步也一直在不断地更新自己的反作弊规则。比如通过更新补贴规则加大刷单难度;加强封号力度等等。
但“道高一尺,魔高一丈”,在刷单的世界里,总是不断有人因为利益加入进来,而老手们和职业刷单人们也总能找到新的漏洞和方法。
业内人士对腾讯科技表示,一些打车软件会采取人工审核的方式查看车主提交的证件是否齐全和准确,但不能百分百保证所有伪造证件都能查出。
滴滴出行也对腾讯科技表示,在缺乏政府帮助下,三证(驾驶证、身份证、行驶证)验真对于任何企业来讲,都是一个难度很高的事情,目前的人工审核可以避免大多数的虚假信息行为,我们也会通过一些合作伙伴来复核证件的真实性。而对于套牌车辆只要有相关反馈,可以马上进行核实,滴滴也在跟政府部门进行密切沟通,希望未来有关部门可以给出行平台更多的授权和协助。