日期
07/15
2019
咨询
  • QQ扫一扫

  • Vision小助手
    (CMVU)

车牌竞价系统有漏洞?这些空子都被谁钻了?
收藏
2019-07-15 14:25:11来源: 中国视觉网

   前不久就有市民反映,深圳车牌竞价系统疑有漏洞,可直接查看到其他竞标者的报价信息。
   7月5日,有网友反应深圳第6期小汽车车牌竞价期间通过微信登录,链接跳转到浏览器打开的瞬间会显示出其他人的报价金额。
   对此步骤进行反复操作,即可无限制地查看任何人的报价金额,甚至可以查看到其他竞价者的身份证件、联系方式等敏感信息。
   接到反映后,经联交所审查,参与本次竞价的共有28878人,共报价57195次。其中,取得联系方式参与报价的共有3337人,看到报价的为190次,占总次数的0.33%。
   因此,深圳交通运输管理局和深圳联合产权交易所给出了系统已修复、不影响竞价结果的官方回复。
   回过头看,与之类似的事件可谓数不胜数。除了各大企业之外,一些被认为“绝对安全”的监管机构也Bug频出。
   在信息裸奔的的大背景下,个人信息不值钱这一说法不光被植入普通民众脑中,即使是政府部门、监管机构也是如此。
   统计显示,我国每年因信息诈骗带来的损失数以亿元计,有单个受害者的损失甚至高达数千万元,且损失数据呈逐年递增趋势。
   造成公民个人信息泄露的源头,很大一部分是行业“内鬼”所为。江苏省网信办发布的数据显示,去年,全省1753个关键信息基础设施、71家新闻网站,共查出800多个高危风险和5000多个中危风险。
   所以,真是信息不值钱吗?当然不是。相反,在这个高私密化的社会,个人信息越来越金贵。
试想,银行、网银密码,淘宝、微博、微信账户,哪一个不是价值千金?这些信息一旦泄露,不仅个人隐私会“走光”,而且生命财产安全也无处安放。
   之所以个人信息卖成了白菜价,是因为供给太多。钓鱼软件窃取、网购泄露、各种APP盗取、快递员出卖,个人信息泄露的途径举不胜举。正所谓物以稀为贵,非法信息供给如此泛滥,当然不值钱。
   信息的大批量泄露,要么会被用作黑产运作,要么会被拿到暗网上明码标价。那么,到底是谁在提供这些信息呢?
   正如上述,在中国上游黑产的运作成本十分低廉。这主要是因为基于两个关键条件——低廉的人力成本和完善的黑产上中下游产业链。
   在整个黑产架构中,上游的接码平台、打码平台、卡商等提供商担任了“提供信息”这一角色。他们制作伪基站,模拟器,设备农场,开发木马,钓鱼app,做模拟触控等基础技术。
   除了基于机器人的获取路径之外,直接通过“真人”进行攻击的切入口显得更为容易。
   据调查,黑产上游人员往往通过30元付费即可让普通用户代黑产下单抢购;破解验证码,不需要用技术,只需要雇一个大学生手动破解,3分钱一张;在农村,用一袋鸡蛋可以换一张身份证......

一般来说,上游提供商调取信息的手段可分为三个步骤:
   由于缺少法律的监管,常年无序发展的灰色产业一直在给信息贩卖这个黑色产业源源不断的输送养分,这也是如此大力打压之下信息贩卖依旧“经久不衰”的原因之一。
   刑法规定盗窃的判罚根据金额计算,犯人将面临三到十年的牢狱生活,而对于“非法获取公民个人信息罪”,情节严重的判处三年以下有期徒刑。
   也就是说,对于信息贩卖者来说,就算被捕罪行再重最多三年罢了。
   实际上,在信息泛滥的今天,银行、手机、身份证、打车记录等等太多方式会让个人信息面临泄露甚至被盗用的风险。
   在这些组织中,数据库管理员、开发者,那么多人有权读取数据,只要有一个人动动邪念,数据就进入了黑色产业链。所以,隐私信息的泄漏是不足为奇。