時(shí)下，打車軟件因其快捷、便利而大受歡迎，但“火爆”背后存在的安全問題也逐漸暴露出來，用戶的信息安全更是備受關(guān)注。互聯(lián)網(wǎng)漏洞曝光平臺(tái)——烏云網(wǎng)2015年5月向《消費(fèi)者報(bào)道》提供的數(shù)據(jù)顯示，自2014年1月份到2015年5月上旬，共發(fā)布59個(gè)關(guān)于打車軟件的安全漏洞，涉及廠商多達(dá)9家，其中快的、滴滴、Uber等行業(yè)領(lǐng)先企業(yè)赫然在列。

　　高危漏洞頻遭忽略在上述漏洞中，危害等級(jí)為“高”的漏洞達(dá)33個(gè)，占比 55.9%；中危漏洞14個(gè)，占23.7%；低危漏洞12個(gè)，占20.3%。其中，快的打車被發(fā)布的安全漏洞數(shù)最多，達(dá)19個(gè)（包括一號(hào)專車漏洞），一嗨租車和神州租車分別以12個(gè)、10個(gè)的漏洞數(shù)緊隨其后，而滴滴打車漏洞數(shù)則為7個(gè)。（如圖2）

　　在漏洞類型方面，被直接標(biāo)記為“敏感信息泄露”或者“重要敏感信息泄露”的漏洞有9個(gè)，可能會(huì)造成軟件用戶信息泄露的漏洞至少達(dá)25個(gè)。

　　360手機(jī)安全專家萬仁國告訴《消費(fèi)者報(bào)道》記者，“打車軟件本身是一個(gè)應(yīng)用，會(huì)有一些數(shù)據(jù)，這些數(shù)據(jù)都是在服務(wù)器上會(huì)存在的。如果這個(gè)應(yīng)用不夠健全，存在的漏洞被人利用，導(dǎo)致拖庫，可以拿到所有的數(shù)據(jù)。”

　　所謂“拖庫”是指黑客入侵有價(jià)值的網(wǎng)絡(luò)站點(diǎn)，把注冊(cè)用戶的資料數(shù)據(jù)庫全部盜走的行為。烏云網(wǎng)核心白帽子“豬豬俠”認(rèn)為，“軟件用戶信息泄露的根本原因是開發(fā)人員的安全意識(shí)不足。”他表示，大多數(shù)的漏洞在軟件系統(tǒng)設(shè)計(jì)之初就可以避免，但由于部分開發(fā)人員不夠重視，造成軟件存在了漏洞，繼而導(dǎo)致用戶信息存在了被黑客拖庫的可能性。

　　令人更加不安的是，在被告知軟件存在安全漏洞之后，依然有11個(gè)漏洞被相應(yīng)廠商選擇忽略。其中，嘀嗒拼車的5個(gè)安全漏洞全部被忽略，包括了在今年3月份有白帽子發(fā)布的“嘀嗒拼車SQL注入泄露用戶敏感信息（包括車主證件, 銀行卡號(hào)等）”的漏洞。

　　SQL注入可以通過在Web表單中輸入（惡意）SQL語句，得到一個(gè)存在安全漏洞的網(wǎng)站上的數(shù)據(jù)庫。這一高危漏洞被發(fā)布者指出可能導(dǎo)致嘀嗒拼車用戶的銀行卡號(hào)、車主證件等信息外泄。然而這條漏洞顯示的狀態(tài)卻是“已經(jīng)通知廠商但廠商忽略漏洞”。

　　“漏洞忽略與否取決于漏洞對(duì)業(yè)務(wù)的影響度。比如，漏洞本身危害是不是可以直接影響服務(wù)器，以及涉及的是否是核心數(shù)據(jù)等等。”易到用車一位不愿透露姓名的技術(shù)工程師向本刊記者表示。

　　被黑信息“用途”多

　　自2014年年初快的、滴滴兩款打車軟件的“燒錢大戰(zhàn)”之后，打車軟件吸引了大批的注冊(cè)用戶。毫無疑問，這迅速聚集起來的大批量的用戶信息自然成為了不少黑客覬覦的“香餑餑”。

　　5月6日，北京青年報(bào)報(bào)道稱在淘寶平臺(tái)已有賣家開始公然出售Uber用戶信息，包括用戶姓名、手機(jī)號(hào)碼、信用卡的信息。雖然在曝光后，該商品迅速被下架，Uber相關(guān)負(fù)責(zé)人也立馬現(xiàn)身辟謠，但這仍然牽動(dòng)了不少用戶敏感的神經(jīng)。

　　淘寶網(wǎng)消費(fèi)者客服人員查詢后向《消費(fèi)者報(bào)道》記者證實(shí)，在2015年5月5日名為“小蛋卷家”的淘寶店鋪確實(shí)上架了“UBER用戶信息”的商品，每份一元，最終成交記錄為5筆，共27份商品被出售。