騰訊科技 相欣 1月7日報道
在中國,個人信息被泄露和瘋狂盜用司空見慣,現在這種情況已經蔓延到了新興的互聯網公司領域,比如優步和滴滴。
“我每天使用一個新的優步賬號,這樣完成20單就會返還500元,而買這個賬號只需要150元。”一位優步司機在行駛的車輛中對記者說。他表示,有專門的渠道購買賬號,雖然乘客叫車成功之后軟件上所顯示的聯系電話、姓名和車號,但是“沒關系,我可以主動聯系乘客,他們也不會十分介意。”這位司機除了每天購買和冒用全新的司機賬號之外,也會使用新的銀行卡進行綁定。而且,據這位司機介紹“這種情況非常普遍”。
對于在O2O領域跑馬圈地的創業公司來說,刷單始終是一個繞不過去的“坎兒”。 一天動輒幾千萬美元的補貼,讓O2O市場成為刷單手們繼淘寶之后又一個無比鐘愛的沃土。在這些公司中,滴滴、優步等出行平臺憑借一天燒幾千萬美元的高姿態,成為近兩年最被刷單者所熱愛的行業。
騰訊科技此前調查發現,優步、滴滴、一號專車等軟件都存在被刷單現象,手段大同小異,由于優步補貼最高,刷單手基本上都在刷優步的單,只有在滴滴提供高補貼或者早晚高峰的時候才會刷一下。
騰訊科技此前還了解到,僅淘寶一個渠道就買賣了20萬左右的優步乘客賬戶。而淘寶訂單主要是以小散用戶為主,更多大量批發的用戶是通過電話私下接洽完成。通過刷單所產生的虛假訂單總量,預計將達到百萬量級。
如前文所述,刷單者能夠注冊大量新的優步車主賬號去開車和刷補貼:一種方法是通過QQ群和淘寶買到司機賬號,另一種方法是找人代辦賬號,或者通過PS駕駛證等資料來注冊新賬號。對于被套用信息的車主而言,無疑存在著巨大風險。
泛濫的代注冊交易
打車軟件提供的高額補貼吸引了刷單者的格外關注,除了有大量優步乘客賬戶交易外,優步車主賬戶交易和代注冊交易也成為刷單者看中的“香餑餑”。
所謂代注冊,即由買家提供姓名、駕照、未注冊過優步賬戶的郵箱和手機號,由賣家負責PS駕駛證等證件,并提供對應的車主賬戶,以便給買家跑車和刷單,該過程由電腦虛擬操作,虛擬定位、自動行駛接單、乘客端自動下單全自動解決。
騰訊科技以“出售司機賬號”在淘寶網上進行搜索,出現的幾乎都是賬號買賣的信息,其中提供“全國滴滴優步司機端出售”、“優步司機端賬號代注冊”的商家有近百家,銷售量排在第一的商家僅在去年12月的一個月時間內就完成了近400筆成交記錄。
雖然很多賣家的淘寶銷量顯示為零,但實際上更多幕后交易是繞過了淘寶體系,通過其它方式完成。
圖1:淘寶網上出售車主賬戶的賣家截圖
騰訊科技從一位賣家處了解到,代注冊司機賬號一般分為五種情況,不同情況下買家提供的信息也有所不同。
第一種是想注冊車牌號和本人車牌號一樣的客戶,必須提供本地行駛證5年內的車輛信息;第二種是賬號被封的客戶,需要提供駕駛證、行駛證照片;第三種是超過年限的車牌以及外地車牌,只能保證注冊的姓名、車型和本人一樣,而車牌是隨機的;第四種是沒車的客戶,只要提供一個姓名就可以。另外,買家還需要準備好沒注冊過Uber賬戶的郵箱、有機號碼。
價格方面,與乘客白號相比,一個車主賬號通常要貴很多,從幾十元到三、四百元不等,價格越貴通過率越高。
騰訊科技通過一家淘寶店鋪聯系到了賣家,并購買了一個優步賬戶,在向賣家提供姓名的半小時后就收到樂來自優步的激活短信和登錄密碼。不過隨后又收到短信稱“司機駕照有問題(證件偽造),需上傳新文件”。對此,該位賣家表示由于優步審核原因偶爾會有這種情況發生,賣家會負責重新提交。
圖2:某買家上傳的注冊成功后的個人資料圖
圖3:淘寶賣家提供的成功交易記錄
另外,百度地圖和優步的合作,也讓百度地圖號成為繼優步賬號之后的又一個交易熱門對象。
2014年12月百度參投中國優步12億美元后,中國優步與百度地圖就進行了一系列的合作,包括在2015年5月百度地圖開放了包含優步在內的叫車服務,功能包括優步的“人民優步”服務、百度順風車和百度專車服務。百度移動服務群組事業部高級總監、百度地圖事業部總經理李東旻曾經在2015百度世界大會上表示,6月末的日均成單量較5月初剛接入服務時增長21倍。
可見,百度地圖為優步帶來了不少訂單,同時也催生出了百度地圖號的私下交易。騰訊科技發現,淘寶、QQ群中除了出售上述優步賬號以外,還有大量百度地圖號出售,售價在5到10元不等,一單交易量達到上百個。
車主信息從何而來
根據優步官網上的注冊步驟提示,車主需要提供的資料包括郵箱、地址、司機本人駕照、銀行卡信息(包括收款人姓名、銀行名稱、開戶城市、開戶支行、銀行賬號)、車輛信息(包括品牌、型號、年份、車牌號碼)。那么賣家所提供的這些信息,尤其是車主、車輛都是從何而來?
有從事網絡安全的業內人士告訴騰訊科技,車輛信息泄露有很多途徑,比如車管所的信息泄露、交通違規信息泄露,以及停車數據泄露等等,“這些數據會經過好幾手倒賣,用作很多用途,用作刷單的賬號交易就是用途之一。”
隨后,騰訊科技通過烏云網站了解到,2015年2月,曾發生用戶資料大規模泄露,全國大量車主信息在互聯網上瘋傳,包括幾百萬車主姓名、身份證號、家庭住址、車牌號等等,并公然售賣。
圖4:烏云網站公布的全國車主數據泄露截圖
圖5:烏云網站公布的全國車主數據泄露截圖
2015年7月某省車管所多站通用管理系統存在oracle注入(打包)可泄露大約1000萬左右數據,其中包括駕駛員姓名、身份證號、駕駛車輛類型、牌照信息等,該漏洞已經交由第三方合作機構(公安部一所)處理;
2015年7月,上門洗車平臺呱呱洗車訂單系統淪陷,泄漏所有車主車牌、手機、住址,該漏洞已經由廠商確認。
圖6:烏云網站公布的漏洞截圖
2015年8月,創佳車友網車輛營運系統未授權訪問漏洞導致大量車牌信息泄漏,包括車牌號,姓名,道路運輸證號等,該漏洞已交由第三方合作機構(cncert國家互聯網應急中心)處理;
2015年11月,某省駕駛人考試管理安全漏洞導致大量用戶敏感信息泄露,包括身份證、姓名、電話、牌照等信息,該漏洞已交由第三方合作機構(cncert國家互聯網應急中心)處理。
該人士告訴騰訊科技,這些漏洞都有可能導致車主信息泄露,成為車輛信息私下交易的渠道。
除了上述漏洞導致車主信息外泄之外,騰訊科技還發現在一些進行刷單交易的QQ群中有人大量倒買倒賣身份證號和收首二手支付寶號、郵箱號。比如就有買家表示,“出售全國真實身份證號,過不去包換,隨機名字真實身份證號一毛一個,保證沒注冊任何東西。”“新到一批50、60、70年代農村社保身份證號”等。
圖7:刷單交易群中的聊天截圖
平臺對刷單者的攻堅戰
“刷單早就不是什么新鮮事,各行各業里都有。只不過是刷多刷少的問題。”多位O2O領域的創業者對騰訊科技表示。
而對于刷單行為,被刷的平臺恐怕也是愛恨交織:一方面是部分公司為了數據更加亮眼,主動或縱容刷單;另一方面是刷單者為了騙取公司給予的大量補貼,也會試圖通過各種渠道尋求刷單。
針對猖獗的刷單行為,優步也一直在不斷地更新自己的反作弊規則。比如通過更新補貼規則加大刷單難度;加強封號力度等等。
但“道高一尺,魔高一丈”,在刷單的世界里,總是不斷有人因為利益加入進來,而老手們和職業刷單人們也總能找到新的漏洞和方法。
業內人士對騰訊科技表示,一些打車軟件會采取人工審核的方式查看車主提交的證件是否齊全和準確,但不能百分百保證所有偽造證件都能查出。
滴滴出行也對騰訊科技表示,在缺乏政府幫助下,三證(駕駛證、身份證、行駛證)驗真對于任何企業來講,都是一個難度很高的事情,目前的人工審核可以避免大多數的虛假信息行為,我們也會通過一些合作伙伴來復核證件的真實性。而對于套牌車輛只要有相關反饋,可以馬上進行核實,滴滴也在跟政府部門進行密切溝通,希望未來有關部門可以給出行平臺更多的授權和協助。