在互联网大数据改变生活、改变世界的火红年代,公民数据资产保护和互联网企业竞争发展好像一对冤家,近几日菜鸟和顺丰之争,信息安全成为公司间市场竞争盾牌,无论谁执矛谁执盾,民众都逃不过为刀俎下鱼肉之命运,6月1日网络安全法实施,彩虹系的“共享单车”经营者们感觉到风好大么?
一、共享单车业态发展态势
“互联网+交通”作为一种新技术形式的交通运输业态,直接改变的传统交通运输供给模式和运行方式,网约车、共享单车、共享汽车等让每使用者直接获得了快捷方便实惠的高技术生活感受,特别是新晋持续“网红”互联网租赁自行车(本文简称“共享单车”)在解决城市交通拥堵、缓解环境污染、降低能源消耗等方面得到广泛认可,更是在共享经济、交通变革乃至制造业升级、公共服务改革等诸多要素找到了产业融合契合点。
据不完全统计,目前全国共有互联网租赁自行车运营企业30多家,累计投放车辆超过1000万辆,累计服务超过10亿人次。在最新的北京市统计局抽样调查采访后发现,被访的1000人中,有794人使用过共享单车,占比达79.4%。无论从使用频率还是消费场景看,共享单车都已成为交通出行的主要方式。
交通运输信息安全中心联合国内移动应用安全厂商监测发现,共有729个共享单车APP分布在安智市场、小米应用商店、魅族应用商店、百度应用市场、华为应用市场等127个移动应用市场上,其应用总下载量高达85,546,440次,近1亿次。
从地域分布来看,“共享单车”应用共分布在17个省市,其中北京市场上存在的共享单车应用数量最多,达688款,北京地区存在全网94.38%的“共享单车”应用;广东市场存在的“共享单车”应用数量其次,为633款;湖北市场存在的“共享单车”应用数量位列第三,为273款。
图:“共享单车”移动应用地域分布
二、“共享单车”互联网移动应用主要安全风险分析
共享单车应用通常由前端APP交互和后端服务系统两部分组成。APP主要包括用户注册、登录,车辆定位、车辆信息输入、充值付费等信息交互功能;后端则包括用户身份认证、开锁、计费结算、与支付系统对接等功能。
随着大规模的普及应用,共享单车系统在客户端数据交互交互、客户端通信以及服务端身份鉴别、认证授权、业务逻辑及通信等方面存在的安全问题逐渐暴露,严重影响用户个人信息财产安全,交通运输信息安全中心联合国内移动应用安全厂商对729个共享单车应用进行抽样测评,从技术角度分析,共享单车APP的主要技术风险如下:
1、账户安全隐患
在测试发现的共享单车安全隐患中,任意账号可登陆是最为普遍的一种安全隐患,手机用户登录仅需提交手机号和短信验证码,无需密码校验,通过分析目标手机用户的短信验证码,可以登录任意手机账号。据不完全统计,存在账户安全隐患的共享单车APP占比达11.11%,预计将会威胁到逾百万人次的账户安全。
2、个人信息泄露隐患
通过检测发现,个人信息泄露隐患是共享单车APP安全漏洞中最为严重的一种,占比达到14.7%。在共享单车APP业务流程中,可以通过校验短信的响应包,越权查看登录用户的姓名及身份证号等敏感信息,导致个人信息泄露。随着《网络安全法》的正式落地实施,个人信息成为受到法律保护的一项重要人身权利。
3、恶意骚扰隐患
部分共享单车应用由于手机短信验证码发送接口并没有对来源IP做次数限制,导致短信验证码可以反复发送,漏洞一旦被利用,会给用户带来被恶意骚扰的困扰。
4、网络攻击隐患
在某些共享单车APP中,存在任意文件上传漏洞,一旦该高风险漏洞被利用,可能导致恶意代码上传传播、整个系统瘫痪和用户被攻击等严重风险发生。
此外,对于移动应用普遍存在的敏感信息泄露、恶意扣费、财产丢失等安全隐患,共享单车APP也一样存在,且不容忽视。
三、“共享单车”网络安全风险保障策略
根据《中华人民共和国网络安全法》、《关于鼓励和规范互联网租赁自行车发展的指导意见(征求意见稿)》等国家法律法规及行政规章等对个人信息保护、共享单车网络信息安全要求,建议在以下方面开展共享单车网络安全管理工作:
一是规范共享单车运营企业行为,定期组织开展网络安全能力评价工作,并定期向社会公布共享单车平台服务能力、安全能力等信息。
二是监督检查确保共享单车运营企业严格落实网络安全等级保护制度,具备符合规定的网络安全管理制度和安全保护技术措施等。
三是要求共享单车运营企业依法合规采集、使用和保护个人信息,严格数据安全保护和管理,提高安全防范和抗风险能力。
四是加强监管并要求不得利用共享单车服务平台发布法律法规禁止传播的信息,不得为企业、个人及其他团体、组织发布有害信息提供便利。
交通运输信息安全中心
二〇一七年六月
还没有评论,来说两句吧...