• 关于我们 联系我们
当前位置:安全行业动态 → 正文

59个漏洞拷问打车软件安全

责任编辑:editor004 作者:仇飞 |来源:企业网D1Net  2015-07-01 13:25:09 本文摘自:法治周末

屋漏偏逢连夜雨。

打车软件的身份合法性问题尚未解决,最近又被泄露用户信息的质疑“围攻”——知名互联网漏洞曝光平台乌云网发布的2015年5月数据显示,自2014年1月到2015年5月上旬,共出现59个关于打车软件的安全漏洞,涉及滴滴快的、Uber等9家厂商。

在漏洞类型方面,被直接标记为“敏感信息泄露”或者“重要敏感信息泄露”的漏洞有9个,可能会造成软件用户信息泄露的漏洞至少达25个。

据悉,打车软件应用中的数据会在服务器上存在,如果软件存在漏洞被黑客拖库,数据库信息将会泄露。

被泄露信息主要涉及两类

知名IT与知识产权律师、中国互联网协会信用评价中心法律顾问赵占领对法治周末记者表示,对于用户而言,使用打车软件需要事先进行注册,注册过程中必然会涉及到提交个人信息,包括手机号码等,这是打车软件提供服务所需要收集的信息,用户也需要提供。

“乘客、司机下载打车软件时需要使用手机号码注册,司机还需提供相关证件。此外,用户在使用软件时还会被提示,同时会读取手机通讯录及相关信息,这些私人信息如果软件方不能妥善保管,都可能被泄露或被倒卖。”知名互联网评论家、速途研究院院长丁道师告诉法治周末记者,打车软件漏洞可能造成泄露的信息,主要有打车软件注册信息和支付信息两类。

此前就有媒体报道称,在电商平台已有商家公然出售Uber用户的姓名、手机号码、信用卡等注册信息。

除了用户信息被公开贩卖外,用户在使用打车软件后,频频被骚扰的案例也屡见不鲜。

“乘客‘放鸽子’后司机电话骚扰追债、美女打车后的哥‘问候短信’没完没了……这种事件在很多地方都出现过。”丁道师介绍到,乘客通过打车软件叫车时,乘客与司机的姓名、电话等个人资料都是完全透明的,无论是司机还是乘客,都可以在手机的历史打车记录里查到对方的信息,即时是单方删除,对方仍然可以看得到。

对此,滴滴快的公关部相关负责人对记者表示,司机对乘客骚扰是严重违规行为,乘客可以向公司投诉,若双方对此事实有争执,公司会与通信公司沟通,协助乘客尽可能还原事情真实情况。

安全保障义务决定是否担责

那么,对于用户信息泄露,打车软件企业是否要承担责任呢?

“打车软件企业与用户之间存在服务合同关系,保障用户个人信息安全是打车软件企业的合同义务。对于用户信息泄露,打车软件企业是否承担责任主要看有没有尽到必要的安全保障义务,这需要打车软件企业举证,证明在现有技术条件下不存在明显的安全漏洞,否则应该对用户的个人信息泄露承担赔偿责任。”赵占领指出。

工信部《规范互联网信息服务市场秩序若干规定》第12条指出,互联网信息服务提供者应当妥善保管用户的个人信息;保管的用户个人信息泄露或者可能泄露时,应当立即采取补救措施;造成或者可能造成严重后果的,应当立即向准予其互联网信息服务许可或者备案的电信管理机构报告,并配合相关部门进行调查处理。

乌云网创始人方小顿告诉法治周末记者,在乌云网告知厂商打车软件存在安全漏洞后,依然有11个漏洞被相应厂商忽略。

“软件有漏洞很正常,能否及时修复才是关键。一般而言,软件企业如果重视安全工作,能够主动避免70%以上的漏洞,其余的在收到白帽黑客或第三方平台的漏洞反馈后,及时修复就没有太多问题。”方小顿补充道。

依据侵权责任法相关规定,行为人因过错侵害他人民事权益,应当承担侵权责任。

“打车软件企业忽略漏洞,本身就是怠于采取必要措施的不作为,属于确有过错的情形。”西南科技大学法学院副教授廖天虎指出。

在廖天虎看来,如果打车软件未经用户同意,收集了其提供服务所必需以外的信息,对用户信息未尽到保密义务,发现软件存在可能泄露用户信息的漏洞后仍不采取补救措施,打车软件企业承担民事责任是必然的,对被侵权的客户,根据其过错程度承担相应的违约或侵权责任。

更需用户自我保护信息

对于用户因信息泄露遭受损害起诉时的法院管辖问题,赵占领认为,根据相关司法解释规定,用户可以选择侵权行为实施地和侵权结果发生地的人民法院起诉。如果侵权行为实施地难以确定,用户可以选择自己住所地的有管辖权的人民法院起诉维权。

多位受访专家表示,打车软件信息泄露的问题,用户除了事后通过法律途径解决外,更重要的是将预防风险的节点提前,防止因自身的不当使用行为引起信息泄露。

“很多人在使用打车软件时,为了方便会把家庭住址、公司住址等信息输入后存入云端,这实际上也给因软件漏洞造成的信息泄露提供了可乘之机。”丁道师举例,地址信息是银行开账户时的重要认证信息,一旦打车软件因漏洞被拖库,这些信息将与被泄露的其他信息形成关联,而这种关联也增加了造成用户进一步损失的风险。

赵占领认为,从注册环节而言,除非所要提交信息与打车软件服务无关,用户可以拒绝提供,否则用户难以进行防范,只能在注册之后的使用过程中,注意保管个人账号及密码,掌握基本的安全知识,避免操作不当导致手机中毒而个人账号被盗。

此外,廖天虎建议,应尽快出台个人信息保护法,以法律的形式明确企业应当履行的信息保护安全措施标准。

“这样就可以以统一的标准来衡量企业是否尽到相应义务、是否应当对发生信息泄露的事件承担责任。如果企业已经尽到相应义务,信息泄露的责任就不应过分苛求企业承担。”廖天虎说。

无独有偶,丁道师也指出,应明确相关软件企业必须建立相应的安全管理体系,克服技术漏洞,例如,根据风险原则,分析用户信息安全管理面临的威胁和管理自身的脆弱性,完善一系列的内部管理制度、配套漏洞弥补机制等。

关键字:软件企业安全漏洞安全保障义务

本文摘自:法治周末

x 59个漏洞拷问打车软件安全 扫一扫
分享本文到朋友圈
当前位置:安全行业动态 → 正文

59个漏洞拷问打车软件安全

责任编辑:editor004 作者:仇飞 |来源:企业网D1Net  2015-07-01 13:25:09 本文摘自:法治周末

屋漏偏逢连夜雨。

打车软件的身份合法性问题尚未解决,最近又被泄露用户信息的质疑“围攻”——知名互联网漏洞曝光平台乌云网发布的2015年5月数据显示,自2014年1月到2015年5月上旬,共出现59个关于打车软件的安全漏洞,涉及滴滴快的、Uber等9家厂商。

在漏洞类型方面,被直接标记为“敏感信息泄露”或者“重要敏感信息泄露”的漏洞有9个,可能会造成软件用户信息泄露的漏洞至少达25个。

据悉,打车软件应用中的数据会在服务器上存在,如果软件存在漏洞被黑客拖库,数据库信息将会泄露。

被泄露信息主要涉及两类

知名IT与知识产权律师、中国互联网协会信用评价中心法律顾问赵占领对法治周末记者表示,对于用户而言,使用打车软件需要事先进行注册,注册过程中必然会涉及到提交个人信息,包括手机号码等,这是打车软件提供服务所需要收集的信息,用户也需要提供。

“乘客、司机下载打车软件时需要使用手机号码注册,司机还需提供相关证件。此外,用户在使用软件时还会被提示,同时会读取手机通讯录及相关信息,这些私人信息如果软件方不能妥善保管,都可能被泄露或被倒卖。”知名互联网评论家、速途研究院院长丁道师告诉法治周末记者,打车软件漏洞可能造成泄露的信息,主要有打车软件注册信息和支付信息两类。

此前就有媒体报道称,在电商平台已有商家公然出售Uber用户的姓名、手机号码、信用卡等注册信息。

除了用户信息被公开贩卖外,用户在使用打车软件后,频频被骚扰的案例也屡见不鲜。

“乘客‘放鸽子’后司机电话骚扰追债、美女打车后的哥‘问候短信’没完没了……这种事件在很多地方都出现过。”丁道师介绍到,乘客通过打车软件叫车时,乘客与司机的姓名、电话等个人资料都是完全透明的,无论是司机还是乘客,都可以在手机的历史打车记录里查到对方的信息,即时是单方删除,对方仍然可以看得到。

对此,滴滴快的公关部相关负责人对记者表示,司机对乘客骚扰是严重违规行为,乘客可以向公司投诉,若双方对此事实有争执,公司会与通信公司沟通,协助乘客尽可能还原事情真实情况。

安全保障义务决定是否担责

那么,对于用户信息泄露,打车软件企业是否要承担责任呢?

“打车软件企业与用户之间存在服务合同关系,保障用户个人信息安全是打车软件企业的合同义务。对于用户信息泄露,打车软件企业是否承担责任主要看有没有尽到必要的安全保障义务,这需要打车软件企业举证,证明在现有技术条件下不存在明显的安全漏洞,否则应该对用户的个人信息泄露承担赔偿责任。”赵占领指出。

工信部《规范互联网信息服务市场秩序若干规定》第12条指出,互联网信息服务提供者应当妥善保管用户的个人信息;保管的用户个人信息泄露或者可能泄露时,应当立即采取补救措施;造成或者可能造成严重后果的,应当立即向准予其互联网信息服务许可或者备案的电信管理机构报告,并配合相关部门进行调查处理。

乌云网创始人方小顿告诉法治周末记者,在乌云网告知厂商打车软件存在安全漏洞后,依然有11个漏洞被相应厂商忽略。

“软件有漏洞很正常,能否及时修复才是关键。一般而言,软件企业如果重视安全工作,能够主动避免70%以上的漏洞,其余的在收到白帽黑客或第三方平台的漏洞反馈后,及时修复就没有太多问题。”方小顿补充道。

依据侵权责任法相关规定,行为人因过错侵害他人民事权益,应当承担侵权责任。

“打车软件企业忽略漏洞,本身就是怠于采取必要措施的不作为,属于确有过错的情形。”西南科技大学法学院副教授廖天虎指出。

在廖天虎看来,如果打车软件未经用户同意,收集了其提供服务所必需以外的信息,对用户信息未尽到保密义务,发现软件存在可能泄露用户信息的漏洞后仍不采取补救措施,打车软件企业承担民事责任是必然的,对被侵权的客户,根据其过错程度承担相应的违约或侵权责任。

更需用户自我保护信息

对于用户因信息泄露遭受损害起诉时的法院管辖问题,赵占领认为,根据相关司法解释规定,用户可以选择侵权行为实施地和侵权结果发生地的人民法院起诉。如果侵权行为实施地难以确定,用户可以选择自己住所地的有管辖权的人民法院起诉维权。

多位受访专家表示,打车软件信息泄露的问题,用户除了事后通过法律途径解决外,更重要的是将预防风险的节点提前,防止因自身的不当使用行为引起信息泄露。

“很多人在使用打车软件时,为了方便会把家庭住址、公司住址等信息输入后存入云端,这实际上也给因软件漏洞造成的信息泄露提供了可乘之机。”丁道师举例,地址信息是银行开账户时的重要认证信息,一旦打车软件因漏洞被拖库,这些信息将与被泄露的其他信息形成关联,而这种关联也增加了造成用户进一步损失的风险。

赵占领认为,从注册环节而言,除非所要提交信息与打车软件服务无关,用户可以拒绝提供,否则用户难以进行防范,只能在注册之后的使用过程中,注意保管个人账号及密码,掌握基本的安全知识,避免操作不当导致手机中毒而个人账号被盗。

此外,廖天虎建议,应尽快出台个人信息保护法,以法律的形式明确企业应当履行的信息保护安全措施标准。

“这样就可以以统一的标准来衡量企业是否尽到相应义务、是否应当对发生信息泄露的事件承担责任。如果企业已经尽到相应义务,信息泄露的责任就不应过分苛求企业承担。”廖天虎说。

无独有偶,丁道师也指出,应明确相关软件企业必须建立相应的安全管理体系,克服技术漏洞,例如,根据风险原则,分析用户信息安全管理面临的威胁和管理自身的脆弱性,完善一系列的内部管理制度、配套漏洞弥补机制等。

关键字:软件企业安全漏洞安全保障义务

本文摘自:法治周末

电子周刊
回到顶部
网站地图

企业网D1Net 信众智-CIO社交平台 第1培训-企业数字化培训平台 会展活动

CIO 数字化转型 云计算 数据中心 大数据 元宇宙 物联网 人工智能 安全

移动办公 服务器 存储 访谈 区块链 数据网络 智慧城市 视频会议 芯片

统一通信 企业应用软件 创新技术 新闻中心

联系我们:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

投稿信箱:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^