“一邊整理車企的安全漏洞，一邊覺得這可能真是個大事”。

　　2015年5月，互聯(lián)網(wǎng)安全漏洞報告平臺——烏云網(wǎng)合伙人鄔迪告訴《消費者報道》記者，在重新評估因車企網(wǎng)站漏洞而涉及到的車主信息泄露時，他覺得“超出了自己的想象”。

　　其實想象已經(jīng)部分變成現(xiàn)實。一方面，黑客“拿下”一個個車企網(wǎng)站數(shù)據(jù)庫，再轉(zhuǎn)手交由數(shù)據(jù)販子以每條1至5塊錢的價格倒賣。另一方面，車企信息安全意識淡薄，以至于對于已知的網(wǎng)站漏洞長期不管不顧，任由車主信息泄露。

　　雪鐵龍車主信息泄露規(guī)?；虺?0萬

　　“全國東風(fēng)雪鐵龍網(wǎng)站后臺的售前信息我都有，還可以提供即時的”，一位網(wǎng)名叫做“貓哥”的黑客在網(wǎng)絡(luò)上兜售車主信息。

　　為了證明所言非虛，“貓哥”提供了數(shù)據(jù)庫截圖。截圖上顯示了7個城市的15個訂單信息，具體包括了車主姓名、手機(jī)號碼、意向購車型號。下單時間則集中在2015年5月4日晚8點以后，最新的訂單信息則剛剛發(fā)生在5分鐘之前。那么到底有多少條車主信息？黑客“貓哥”提供的數(shù)據(jù)截屏顯示，其后還有540676條信息。不過黑客向本刊記者解釋，“54萬條數(shù)據(jù)里重復(fù)的很多，不算重復(fù)的，有10萬條售前信息”。

　　除幾個沒有撥通的電話外，經(jīng)本刊記者隨機(jī)電話確認(rèn)，黑客提供的電話主人都是不久前購買過東風(fēng)雪鐵龍汽車的車主。

　　這可能只是冰山一角。黑客“貓哥”還向記者表示，凡是東風(fēng)雪鐵龍的潛在客戶在易車網(wǎng)、汽車之家留下的訂單和電話他也能查到。按照黑客提供的電話信息，一位接聽電話的用戶對記者表示，他剛在易車網(wǎng)的詢價平臺留下了自己的個人信息。

　　易車網(wǎng)技術(shù)人員則對《消費者報道》回應(yīng)稱，“易車網(wǎng)僅提供詢價的平臺入口，詢價者的信息會直接發(fā)送給對應(yīng)的品牌經(jīng)銷商，易車網(wǎng)不會做任何保存”。

　　即使是只有姓名、手機(jī)、城市和意向車款的詢價信息，黑客“貓哥”已經(jīng)要價一塊錢一條，試駕者信息則開到了兩塊一條?！罢嬲龘屖值倪€不是售前數(shù)據(jù)，其他信息數(shù)據(jù)比較全的，一到手就被‘秒’了”。黑客“貓哥”表示。

　　東風(fēng)雪鐵龍官網(wǎng)的用戶信息為何能輕易地就被盜走？

　　黑客“貓哥”給出的答案是 “太懶”?！皷|風(fēng)雪鐵龍基本不管自己的后臺，這是能輕易拿下數(shù)據(jù)的主要原因”。他說。

　　2015年4月29日，曾有白帽子(不惡意利用安全漏洞的黑客)向烏云平臺提交名為“東風(fēng)雪鐵龍某后臺弱口令可導(dǎo)致全國幾百個經(jīng)銷商賬號與大量個人數(shù)據(jù)泄露”的漏洞。

　　對于這個漏洞，綠盟科技NSTRT團(tuán)隊負(fù)責(zé)人張佳發(fā)告訴本刊記者，如有攻擊者登錄后臺，可以看到東風(fēng)雪鐵龍經(jīng)銷商全部的敏感數(shù)據(jù)，可導(dǎo)致全國幾百個經(jīng)銷商賬號與大量個人數(shù)據(jù)泄露。

　　“該漏洞沒太多技術(shù)含量，非常容易被利用”。烏云網(wǎng)主站運營者孟卓告訴本刊記者，“一旦這些數(shù)據(jù)落入買家手上，很多車主可能會接到賣車或者保險的推銷電話騷擾。還有更加惡劣的結(jié)果可能就是保險詐騙，即以違章記錄的名頭來騙取違約金”。

　　可就是這個“沒有太多技術(shù)含量”的漏洞，直到2015年6月其狀態(tài)仍然顯示為“已經(jīng)通知廠商但是廠商忽略漏洞”。

　　對此，東風(fēng)雪鐵龍公關(guān)公司——靈思公司公關(guān)梁婧回復(fù)本刊稱，“東風(fēng)雪鐵龍明確不回應(yīng)信息泄露的相關(guān)問題”。

　　奔馳寶馬凱迪拉克官網(wǎng)漏洞兩年不補(bǔ)

　　類似東風(fēng)雪鐵龍的這種“疏忽”，在一線車企中并不是孤例。

　　“我們發(fā)現(xiàn)很多車企不夠重視自身的信息安全建設(shè)。從烏云白帽子提交的漏洞來看，很少有車企會在聯(lián)系之后來認(rèn)領(lǐng)，個別的甚至?xí)鲃雍雎浴保w迪說。

　　2011年至今，白帽子在烏云平臺上總共提交了有關(guān)于車企網(wǎng)站的58個漏洞。其中接近一半的漏洞都可能造成網(wǎng)站用戶的信息泄露，背后涉及到百萬車主的信息安全。而絕大多數(shù)漏洞狀態(tài)，都是“未聯(lián)系到廠商或者廠商積極忽略”。