停个车数据就泄露了 !央视曝光信息黑洞疯狂出卖个人隐私
12月23日消息,近日,央视《财经调查》栏目携手信息安全领域的专家,针对北京三家采纳“智慧停车”系统的停车场,开展了用户个人信息安全性的实地测试。测试结果显示,在远离停车场数公里的位置,无需身份验证,能够轻易获取车辆所在停车场、车辆入场时间等敏感信息。
在首个和第二个“智慧停车”系统的测试中,一旦驾驶员驾驶车辆驶入停车场,身处数公里之外的专业技术人员仅凭车牌号,无需任何身份验证步骤,就能迅速掌握车辆所在停车场的位置、入场时间等敏感信息。
接着,采用相同的方法对第三个“智慧”停车场进行测试时,表面上并未直接展示车辆的敏感信息。然而,技术专家经过仔细分析后发现,该停车场的前台虽未显示相关信息,但后台实际上已作出响应,返回的数据包中依然包含有车辆的敏感信息。
日常停车竟能暴露个人隐私信息?智慧停车虽极大地提升了居民出行的便捷性。然而,停车信息,特别是车辆进出某个地点的完整记录,被《个人信息保护法》列为敏感个人信息中的行踪轨迹信息。被保存记录下来的信息,安全吗?
虽然依据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定:非法获取、出售行踪轨迹信息五十条以上即可构成犯罪;五百条以上则视为情节特别严重。但近年来,不法分子利用停车信息追踪社会车辆,甚至非法安装跟踪器,对公民的人身安全构成了严重威胁。
在犯罪分子的聊天群组中,各类车辆的实时停车信息,包括车牌号、停车场具体位置、进场时间等,被频繁发布和更新。一旦车辆被犯罪分子“锁定”,并在群组内显示,短短几十分钟内,就可能被装上强磁吸附且超长待机的GPS无线定位器。
2023年,安徽砀山网警成功破获了一起涉及非法获取计算机信息系统数据、侵犯公民个人信息的案件。该案的突破口正是全国数千个智慧停车服务系统中的数据接口漏洞。犯罪分子通过批量模拟缴费的方式,在这些停车场系统中获取返回值并进行解析,从而判断某辆车是否在某个停车场内。
据警方介绍,不法分子通过 互联网 接单,为客户寻找指定车辆。他们正是利用了停车小程序数据接口上的漏洞。随后,短则几分钟内,就会有“贴手”找到指定车辆并贴上GPS追踪器。据警方资料显示,每贴一辆车,“贴手”能获利800元至1000元不等。而那些位于上游、入侵停车场数据系统的不法分子更是获利丰厚。
在这起案件中,安徽砀山网警成功打掉了一个非法获取并售卖停车数据的犯罪团伙,抓获犯罪嫌疑人32名,查封远程服务器9台、关键脚本程序5套、车辆位置数据50余万条。2024年10月,法院对该案系列被告人作出判决,以侵犯公民个人信息罪判处其有期徒刑二年至四年不等。
另据调查,点餐、办卡、订酒店等消费场景中的骚扰电话和各类骚扰信息一直是困扰广大消费者的问题。值得注意的是,这些推销信息对消费者的选择也异常精准。据专家介绍,当前消费市场上的网站和应用程序中存在着海量的数据接口。一个简单的App应用就可能拥有成百上千个数据接口,而一个小型平台则可能拥有上万个数据接口。这些承载着海量数据流转和交互的数据接口,正是不法分子眼中的薄弱环节,并逐渐成为他们主要攻击的目标。
随后,《财经调查》栏目联合网络安全技术专家,针对咖啡茶饮店、运动健身购买月卡、生活服务-洗衣店、酒店订房、医疗信息等消费场景中的数据接口使用情况,进行了一系列实时测试和深入调查。结果发现,在这些场景中,个人信息同样可以轻易地被查询到。
【来源: 快 科技 】