银基安全:网约车企业用户信息安全问题研究

1.概述

在多元的互联网发展和开放的市场环境的共同推动下,网约车一改过去传统公共出行的方式,有效的结合了移动互联网,使我们的生活更便利、更智慧。在一定程度上,网约车缓和了出租车数量匮乏而带来的出行压力,也缓解了在城市里出行难的问题。随之发展起来的软件平台,作为司机与乘客的桥梁,不仅维系着运营关系,也在提供信息服务的同时,整合了社会资源。的确,网约车高速发展起来了,但在实际运营过程中,安全隐患事件层出不穷,这些问题的来源不仅仅是不完善的配套机制、不统一的明文规范及司机个人的素质问题,还有信息安全技术的把控等等。因此,对于网约车企业信息安全发展现状以及实际问题的改进策略的研究十分必要,上海银基安全作为2018年上海市电信和互联网行业网络安全检查的技术支撑单位,将在6月至9月间配合上海市通信管理局针对上海地区车联网及网约车企业进行包括用户信息保护在内的众多信息安全问题进行检测,共同推进网约车企业信息安全工作。

2. 网约车现状

2.1 网约车行业现状

“互联网+”的模式成了当前企业业务发展战略的主流模式,“互联网+交通”可观的市场规模及发展着实为网约车服务打下了坚实的技术基础。不仅如此,线上搜索、在线支付等技术也给予了网约车业务技术支持,提升了消费者的用户体验,因而也促进了网约车的发展。

网约车的发展历程逐步正规化,从2010年易到用车在北京成立,2012年快的打车和滴滴打车先后上线,网络打车初步进入大众视野,2014年相继推出“网络专车服务”,2016年7月,网约车的合法地位被认可,随着网约车的合法化,网约车市场逐步呈现优胜劣汰的趋势。自2015年滴滴与快的合并,2016年滴滴收购优步中国的业务,到如今,网约车企业及业务蓬勃发展,因而,对网约车行业资源需要进一步合理的调配。在一定程度上,网约车带动了共享经济的发展,然而网约车行业的信息安全却显得相对滞后,这部分需要我们重点关注的。

2.2 网约车信息收集情况

截止2017年底,中国移动出行用户达4.35亿人,网约车app的市场渗透率为14%,市场规模超过1.4亿人,且整个行业都处于上升状态,与2016年同期相比,全行业的用户规模增长了16.4%。此处,我们以滴滴为例,2017年,滴滴出行以58.6%的渗透率位居软件排名之首,远超其他网约车平台。当我们注册各类网约车APP时,可能需要提供身份证照片、驾驶证照片、支付绑定银行卡等,在使用时,订单则可能包含姓名、手机、地址等,作为企业客户,甚至可能还需要提供公司营业执照,法人资质等。这些信息的收集在一定程度上可以保障确认用户的信用问题,但信息若不能保护好,就会带来隐私泄露等问题,这也是当前我们所需要重点关注的问题。

2.3 网约车与传统出租车对比

网约车相对于传统出租车而言具有显著优势,用户体验高、价格更优惠、可选择性多元化、用车个性化,出租车拒载、乱收费等乱象促进了网约车的高速发展,也表现了网约车更广阔的发展空间。然而,由于网约车的低运营成本及低入行门槛,与传统出租车相比,没有企业做背书,网约车的司机素质要求无从得知,这对于用户信息安全、乃至人身安全都造成了不小的安全隐患。

3. 信息安全隐患问题

3.1 车辆信息泄露

当前网约车企业信息安全建设相对于业务发展显得相对滞后,各类网约车业务相关的管理后台,供应商网站,手机APP等存在一定的安全漏洞,利用这些漏洞能造成后台网约车辆信息泄漏,包括车辆牌照,车架号,发动机号,车辆行程等敏感的信息。这些安全问题可能包括管理后台的弱口令,核心业务网站目录列表,客户端APP订单遍历,甚至只是一个简单的redis未授权访问。之前某互联网漏洞平台上收录了很多相关的网约车行业信息泄露相关的漏洞,利用简单的一个车牌号,最终能够定位到车辆以及车主的全部个人敏感信息,由此可见网约车的信息保护问题的确值得更多的投入和关注。

3.2 用户信息泄露

使用一个网约车平台,少不了要绑定一些个人信息才能顺利进行,这就等于把隐私放到了安全全然未知的地方,万一泄露了,后果将会不堪设想。美国联邦贸易委员会指出,Uber在2016年发生了数据泄露的事件。黑客通过入侵亚马逊提供的数据存储服务,获得2560万名Uber用户未加密的个人信息,包括姓名、电话和电子邮件地址,以及60.7万人的驾驶执照号码。由此可见,用户的个人信息在软件上安全保障度低。此外,专业技术人员了解到某车辆APP存在SQL注入漏洞导致30W+车主信息可被脱库,这些可脱库的信息中包含车主姓名,身份证号码,车辆VIN号,车辆APP密码等敏感内容,尝试使用这些密码进行撞库可获取车主更多的个人信息。

3.2 乘车安全

除物理上的安全隐患(如交通事故等)外,同样还存在着乘客用车的人身安全隐患。沟通不顺而导致的乘客被辱骂、恐吓甚至殴打等暴力事件,加上前段时间的“空姐事件”,对个人信息泄露而造成的社会恶性事件敲响警钟。打车软件上对于乘客信息的不仅限于接送地的位置及联系方式,还有头像照片、司机、同行人对乘客的评价,这些在无形中被素质低下的人利用,描述中甚至暴露出“性暗示”,隐形中让有歹念的司机实施骚扰、强奸、甚至杀人等恶劣行为。这些不稳定因素,都将对乘客造成乘车人身安全隐患。

3.2 支付安全

网约车起初以绝对优惠的价格吸引到用户,比传统出租车便宜得多,虽然支付方式更简便了,但是在支付方面还是存在一些问题,比如新闻曾经报道过的未能在打车过程中及时发现不合理的涨价而导致支付安全问题等等。在网约车的订单选择上,大部分是城市内短途订单,而对于长路程的订单,其费用明细并不清晰,“其他费用”的设置选项未能让我们充分了解,这也导致了一系列支付问题。

除此之外,恶意扣费的情况也经常出现,还有些不良司机依靠刷单来获取平台佣金,在无形中令乘客的资金安全受到威胁。对于经常手机支付的朋友来说,免密码支付更加简便,但这种特殊的形式,也许会令别有企图的不良人士越权使用他人的账号,完成订单支付。所以,打车软件的支付方式及渠道上依旧存在着信息安全隐患。

4. 现状问题解决策略

4.1 法律法规(个人信息保护)

网约车的合法化离不开国家的支持,《网络安全法》对个人信息保护的要求,也让企业、平台、用户有了法律保障,也让社会、企业、个人开始意识到信息安全和个人隐私保护的重要性。履行个人信息保护的责任主体义务,并需要接受工信部等国家有关监管部门的监督和管理;系统性定义个人信息保护的要求,并与国内外最佳实践接轨,保持高度一致性;兼顾个人信息应用方面的鼓励创新和个人信息的合理保护,也是企业、社会一同需要思考与落实的。

在《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号)中,保护电信和互联网用户的合法权益,维护网络信息安全成为最终目标,在信息收集和使用规范、安全保障措施、监督检查、法律责任等方面做了详细的规定。如此,用户个人信息保护情况也由电信业务经营者、互联网信息服务提供者共同配合,实施监督工作。

另外,国家监管方面,交通部会同工信部等部门发布了网约车线上服务能力审核要求,企业要通过有关部门对网络安全、用户信息保护等方面的审核才能取得网约车资质。在上海,市交通委员会会同市通信管理局等几部门进行线上服务能力审核工作。

4.2 软件平台

完善软件平台的功能是首当其冲的任务,我们所需要关注的更应该从保护个人信息安全出发。在安全检查及数据安全上,包括脱敏、加密、备份等,对于软件的使用给人以信息安全的保障。

司机端:

1、提高入行门槛。不仅仅是司机所需要注册的相关证件,还可以加上面部识别、指纹识别的双重保障程序,避免代替驾驶的情况出现。

2、添加不定期抽查设置。对司机的身体和精神状态的个人情况进行了解,比如实际操作过程中的状况、行车记录、用户反馈等,对潜在的问题做预防工作,从源头上减少事故发生的可能性。

乘客端:

1、多角度增强乘客用车安全性,例如实时共享位置及发送功能、一键报警及定位功能等

2、乘客使用选择性的多元化,平台对于乘客提出的投诉、意见反馈都应及时处理,并且认真审核相关信息,做出合理措施。

5. 发展前景与趋势

习近平总书记在党的十九大报告中提出没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障,国家对信息安全问题也越来越重视,对于网约车行业未来发展的监管与监督力度势必会进一步加强,这不仅是对“共享经济”良好发展势头的引导,更是对“互联网+新兴经济发展”模式发展前景的看好。加之国家以推出规范化管理办法的方式,随着相关规定与政策的逐步落实,网约车的市场规模必定会越来越正规,也越来越大。基于国家的重视,各企业的配合与协调,相信网约车在信息安全方面会越来越好。

参考资料:

《网约车的发展现状与对策研究》

《极光大数据:全国1.4亿的网约车用户,有1.2亿是滴滴用户》

《中国网络安全法系列解读之一 个人信息保护要求的应对》

《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号)