互联网消息:优步刷升级:个人信息泄露，没车也能成为车主

身边发生了很多新鲜事，当前的实时热点，最热门的话题。我们应该多充电，掌握更多的知识，让自己见多识广。目前，互联网、技术和数字与我们的生活密切相关。今天，边肖整理了一些信息并与大家分享。

【摘要】个人信息泄露和疯狂挪用已经蔓延到优步、滴滴等新兴互联网公司。

在中国，个人信息被泄露和疯狂窃取是很常见的。现在这种情况已经蔓延到优步、滴滴等新兴互联网公司。

“我每天都用一个新的优步账户，所以完成20个订单后我会把它退回到500元，我只需要150元就可以购买这个账户。”一名优步司机在行驶的汽车上告诉腾讯科技记者。他说有专门的渠道购买账号。虽然乘客叫车成功后软件上显示的联系方式、姓名、车号“没关系，我可以主动联系乘客，他们不会很介意。”这个司机不仅每天购买并欺诈使用全新的司机账户，还使用新的银行卡进行绑定。而且，据司机说，“这种情况很常见”。

对于在O2O领域竞争的初创企业来说，计费总是一个障碍。每天几千万美元的补贴，让O2O市场成为继淘宝之后，刷一手的人又一个爱的沃土。在这些公司中，滴滴、优步等旅游平台因其每天烧钱数千万的高姿态，成为近两年来最受客户喜爱的行业。

腾讯科技此前发现优步、滴滴、一号专车等软件被刷过，手段类似。因为优步补贴最高，刷一只手基本就是刷优步的账，而且只有滴滴提供高额补贴或者早晚高峰期的时候。

腾讯科技还了解到，仅淘宝一家就买卖了约20万个优步乘客账户。淘宝订单以小零散用户为主，更多批发用户私下电话联系。账单产生的虚假订单总量预计将达到数百万份。

如上所述，单个用户可以注册大量新优步车主账号进行驾驶和刷补贴：一种方法是通过QQ群和淘宝购买驾照账号，另一种方法是找人办理账号，或者通过PS驾照等信息注册新账号。毫无疑问，对于申请信息的车主来说，存在着巨大的风险。

大量代理注册交易

出租车软件提供的高额补贴引起了客户的特别关注。除了大量的优步旅客账户交易外，优步业主账户交易和注册交易也成为了客户的“热门货”。

所谓代理注册，就是买方提供姓名、驾照、邮箱、手机号，而没有注册优步账号，卖方负责PS驾照等证件，并提供相应车主账号，从而给买方一辆跑车和一张账单。该过程通过计算机虚拟操作、虚拟定位、自动驾驶命令和自动乘客命令来解决。

腾讯科技用“卖司机账号”搜索淘宝，几乎所有信息都出现在账号买卖上。其中，提供“全国滴滴优步司机账号出售”和“优步司机账号注册”的商户近百家，销量最高的商户去年12月份一个月内完成近400笔交易记录。

虽然很多卖家的淘宝销售额为零，但实际上更多的幕后交易是通过其他手段完成的，绕过了淘宝系统。

图一：卖家在淘宝上卖主人账号的截图(用腾讯科技)

腾讯科技从一个卖家那里了解到，注册司机账号一般分为五种情况，买家提供的信息在不同情况下是不一样的。

第一是客户想注册与自己车牌号相同的车牌号，必须在当地驾驶证5年内提供车辆信息；第二种是账户被封的客户需要提供驾照和驾驶证照片；第三类是超过年限的车牌和国外的车牌。只能保证注册的名字和型号和本人一样，车牌随机；第四种是没有车的客户，只要提供名字。此外，买家需要准备尚未注册优步账户的电子邮件地址和有机号码。

价格方面，相对于乘客白号，一个车主账号通常要贵很多，几十元到三四百元不等。价格越贵，通过率越高。

腾讯科技通过淘宝店铺联系卖家，购买了一个优步账号。它在向卖家提供姓名半小时后收到了优步发来的激活短信和登录密码。但是后来收到短信说“驾照有问题(伪造证件)，需要上传新文件”。对此，卖方表示，由于优步审计，偶尔会出现这种情况，卖方将负责重新提交。

图2:买家成功注册后上传的个人数据图(腾讯科技)

oads/2016/01/88ee2fdabd3d4d41371d76e9d7108dd7.png" alt="车主信息遭疯狂盗用 优步成为牟利平台" />

图3：淘宝卖家提供的成功交易记录（腾讯科技配图）

另外，百度地图和优步的合作，也让百度地图号成为继优步账号之后的又一个交易热门对象。

2014年12月百度参投中国优步12亿美元后，中国优步与百度地图就进行了一系列的合作，包括在2015年5月百度地图开放了包含优步在内的叫车服务，功能包括优步的“人民优步”服务、百度顺风车和百度专车服务。百度移动服务群组事业部高级总监、百度地图事业部总经理李东旻曾经在2015百度世界大会上表示，6月末的日均成单量较5月初刚接入服务时增长21倍。

可见，百度地图为优步带来了不少订单，同时也催生出了百度地图号的私下交易。腾讯科技发现，淘宝、QQ群中除了出售上述优步账号以外，还有大量百度地图号出售，售价在5到10元不等，一单交易量达到上百个。

车主信息从何而来

根据优步官网上的注册步骤提示，车主需要提供的资料包括邮箱、地址、司机本人驾照、银行卡信息（包括收款人姓名、银行名称、开户城市、开户支行、银行账号）、车辆信息（包括品牌、型号、年份、车牌号码）。那么卖家所提供的这些信息，尤其是车主、车辆都是从何而来？

有从事网络安全的业内人士告诉腾讯科技，车辆信息泄露有很多途径，比如车管所的信息泄露、交通违规信息泄露，以及停车数据泄露等等，“这些数据会经过好几手倒卖，用作很多用途，用作刷单的账号交易就是用途之一。”

随后，腾讯科技通过乌云网站了解到，2015年2月，曾发生用户资料大规模泄露，全国大量车主信息在互联网上疯传，包括几百万车主姓名、身份证号、家庭住址、车牌号等等，并公然售卖。

图4：乌云网站公布的全国车主数据泄露截图（腾讯科技配图）

图5：乌云网站公布的全国车主数据泄露截图（腾讯科技配图）

2015年7月某省车管所多站通用管理系统存在oracle注入(打包)可泄露大约1000万左右数据，其中包括驾驶员姓名、身份证号、驾驶车辆类型、牌照信息等，该漏洞已经交由第三方合作机构（公安部一所）处理；

2015年7月，上门洗车平台呱呱洗车订单系统沦陷，泄漏所有车主车牌、手机、住址，该漏洞已经由厂商确认。

图6：乌云网站公布的漏洞截图（腾讯科技配图）

2015年8月，创佳车友网车辆营运系统未授权访问漏洞导致大量车牌信息泄漏，包括车牌号，姓名，道路运输证号等，该漏洞已交由第三方合作机构(cncert国家互联网应急中心)处理；

2015年11月，某省驾驶人考试管理安全漏洞导致大量用户敏感信息泄露，包括身份证、姓名、电话、牌照等信息，该漏洞已交由第三方合作机构（cncert国家互联网应急中心）处理。

该人士告诉腾讯科技，这些漏洞都有可能导致车主信息泄露，成为车辆信息私下交易的渠道。

除了上述漏洞导致车主信息外泄之外，腾讯科技还发现在一些进行刷单交易的QQ群中有人大量倒买倒卖身份证号和收首二手支付宝号、邮箱号。比如就有买家表示，“出售全国真实身份证号，过不去包换，随机名字真实身份证号一毛一个，保证没注册任何东西。”“新到一批50、60、70年代农村社保身份证号”等。

图7：刷单交易群中的聊天截图（腾讯科技配图）

平台对刷单者的攻坚战

“刷单早就不是什么新鲜事，各行各业里都有。只不过是刷多刷少的问题。”多位O2O领域的创业者对腾讯科技表示。

而对于刷单行为，被刷的平台恐怕也是爱恨交织：一方面是部分公司为了数据更加亮眼，主动或纵容刷单；另一方面是刷单者为了骗取公司给予的大量补贴，也会试图通过各种渠道寻求刷单。

针对猖獗的刷单行为，优步也一直在不断地更新自己的反作弊规则。比如通过更新补贴规则加大刷单难度；加强封号力度等等。

但“道高一尺，魔高一丈”，在刷单的世界里，总是不断有人因为利益加入进来，而老手们和职业刷单人们也总能找到新的漏洞和方法。

业内人士对腾讯科技表示，一些打车软件会采取人工审核的方式查看车主提交的证件是否齐全和准确，但不能百分百保证所有伪造证件都能查出。

滴滴出行也对腾讯科技表示，在缺乏政府帮助下，三证（驾驶证、身份证、行驶证）验真对于任何企业来讲，都是一个难度很高的事情，目前的人工审核可以避免大多数的虚假信息行为，我们也会通过一些合作伙伴来复核证件的真实性。而对于套牌车辆只要有相关反馈，可以马上进行核实，滴滴也在跟政府部门进行密切沟通，希望未来有关部门可以给出行平台更多的授权和协助。