在中国,个人信息被泄露和疯狂盗用司空见惯,现在这种情况已经蔓延到了新兴的互联网公司领域,比如优步和滴滴。
“我每天使用一个新的优步账号,这样完成20单就会返还500元,而买这个账号只需要150元。”一位优步司机在行驶的车辆中对腾讯科技记者说。他表示,有专门的渠道购买账号,虽然乘客叫车成功之后软件上所显示的联系电话、姓名和车号,但是“没关系,我可以主动联系乘客,他们也不会十分介意。”这位司机除了每天购买和冒用全新的司机账号之外,也会使用新的银行卡进行绑定。而且,据这位司机介绍“这种情况非常普遍”。
对于在O2O领域跑马圈地的创业公司来说,刷单始终是一个绕不过去的“坎儿”。 一天动辄几千万美元的补贴,让O2O市场成为刷单手们继淘宝之后又一个无比钟爱的沃土。在这些公司中,滴滴、优步等出行平台凭借一天烧几千万美元的高姿态,成为近两年最被刷单者所热爱的行业。
腾讯科技此前调查发现,优步、滴滴、一号专车等软件都存在被刷单现象,手段大同小异,由于优步补贴最高,刷单手基本上都在刷优步的单,只有在滴滴提供高补贴或者早晚高峰的时候才会刷一下。
腾讯科技此前还了解到,仅淘宝一个渠道就买卖了20万左右的优步乘客账户。而淘宝订单主要是以小散用户为主,更多大量批发的用户是通过电话私下接洽完成。通过刷单所产生的虚假订单总量,预计将达到百万量级。
如前文所述,刷单者能够注册大量新的优步车主账号去开车和刷补贴:一种方法是通过QQ群和淘宝买到司机账号,另一种方法是找人代办账号,或者通过PS驾驶证等资料来注册新账号。对于被套用信息的车主而言,无疑存在着巨大风险。
泛滥的代注册交易
打车软件提供的高额补贴吸引了刷单者的格外关注,除了有大量优步乘客账户交易外,优步车主账户交易和代注册交易也成为刷单者看中的“香饽饽”。
所谓代注册,即由买家提供姓名、驾照、未注册过优步账户的邮箱和手机号,由卖家负责PS驾驶证等证件,并提供对应的车主账户,以便给买家跑车和刷单,该过程由电脑虚拟操作,虚拟定位、自动行驶接单、乘客端自动下单全自动解决。
腾讯科技以“出售司机账号”在淘宝网上进行搜索,出现的几乎都是账号买卖的信息,其中提供“全国滴滴优步司机端出售”、“优步司机端账号代注册”的商家有近百家,销售量排在第一的商家仅在去年12月的一个月时间内就完成了近400笔成交记录。
虽然很多卖家的淘宝销量显示为零,但实际上更多幕后交易是绕过了淘宝体系,通过其它方式完成。
淘宝网上出售车主账户的卖家截图
腾讯科技从一位卖家处了解到,代注册司机账号一般分为五种情况,不同情况下买家提供的信息也有所不同。
第一种是想注册车牌号和本人车牌号一样的客户,必须提供本地行驶证5年内的车辆信息;第二种是账号被封的客户,需要提供驾驶证、行驶证照片;第三种是超过年限的车牌以及外地车牌,只能保证注册的姓名、车型和本人一样,而车牌是随机的;第四种是没车的客户,只要提供一个姓名就可以。另外,买家还需要准备好没注册过Uber账户的邮箱、有机号码。
价格方面,与乘客白号相比,一个车主账号通常要贵很多,从几十元到三、四百元不等,价格越贵通过率越高。
腾讯科技通过一家淘宝店铺联系到了卖家,并购买了一个优步账户,在向卖家提供姓名的半小时后就收到乐来自优步的激活短信和登录密码。不过随后又收到短信称“司机驾照有问题(证件伪造),需上传新文件”。对此,该位卖家表示由于优步审核原因偶尔会有这种情况发生,卖家会负责重新提交。
某买家上传的注册成功后的个人资料图
淘宝卖家提供的成功交易记录
另外,百度地图和优步的合作,也让百度地图号成为继优步账号之后的又一个交易热门对象。
2014年12月百度参投中国优步12亿美元后,中国优步与百度地图就进行了一系列的合作,包括在2015年5月百度地图开放了包含优步在内的叫车服务,功能包括优步的“人民优步”服务、百度顺风车和百度专车服务。百度移动服务群组事业部高级总监、百度地图事业部总经理李东旻曾经在2015百度世界大会上表示,6月末的日均成单量较5月初刚接入服务时增长21倍。
可见,百度地图为优步带来了不少订单,同时也催生出了百度地图号的私下交易。腾讯科技发现,淘宝、QQ群中除了出售上述优步账号以外,还有大量百度地图号出售,售价在5到10元不等,一单交易量达到上百个。
车主信息从何而来
根据优步官网上的注册步骤提示,车主需要提供的资料包括邮箱、地址、司机本人驾照、银行卡信息(包括收款人姓名、银行名称、开户城市、开户支行、银行账号)、车辆信息(包括品牌、型号、年份、车牌号码)。那么卖家所提供的这些信息,尤其是车主、车辆都是从何而来?
有从事网络安全的业内人士告诉腾讯科技,车辆信息泄露有很多途径,比如车管所的信息泄露、交通违规信息泄露,以及停车数据泄露等等,“这些数据会经过好几手倒卖,用作很多用途,用作刷单的账号交易就是用途之一。”
随后,腾讯科技通过乌云网站了解到,2015年2月,曾发生用户资料大规模泄露,全国大量车主信息在互联网上疯传,包括几百万车主姓名、身份证号、家庭住址、车牌号等等,并公然售卖。
乌云网站公布的全国车主数据泄露截图
2015年7月某省车管所多站通用管理系统存在oracle注入(打包)可泄露大约1000万左右数据,其中包括驾驶员姓名、身份证号、驾驶车辆类型、牌照信息等,该漏洞已经交由第三方合作机构(公安部一所)处理;
2015年7月,上门洗车平台呱呱洗车订单系统沦陷,泄漏所有车主车牌、手机、住址,该漏洞已经由厂商确认。
2015年8月,创佳车友网车辆营运系统未授权访问漏洞导致大量车牌信息泄漏,包括车牌号,姓名,道路运输证号等,该漏洞已交由第三方合作机构(cncert国家互联网应急中心)处理;
2015年11月,某省驾驶人考试管理安全漏洞导致大量用户敏感信息泄露,包括身份证、姓名、电话、牌照等信息,该漏洞已交由第三方合作机构(cncert国家互联网应急中心)处理。
该人士告诉腾讯科技,这些漏洞都有可能导致车主信息泄露,成为车辆信息私下交易的渠道。
除了上述漏洞导致车主信息外泄之外,腾讯科技还发现在一些进行刷单交易的QQ群中有人大量倒买倒卖身份证号和收首二手支付宝号、邮箱号。比如就有买家表示,“出售全国真实身份证号,过不去包换,随机名字真实身份证号一毛一个,保证没注册任何东西。”“新到一批50、60、70年代农村社保身份证号”等。
刷单交易群中的聊天截图
平台对刷单者的攻坚战
“刷单早就不是什么新鲜事,各行各业里都有。只不过是刷多刷少的问题。”多位O2O领域的创业者对腾讯科技表示。
而对于刷单行为,被刷的平台恐怕也是爱恨交织:一方面是部分公司为了数据更加亮眼,主动或纵容刷单;另一方面是刷单者为了骗取公司给予的大量补贴,也会试图通过各种渠道寻求刷单。
针对猖獗的刷单行为,优步也一直在不断地更新自己的反作弊规则。比如通过更新补贴规则加大刷单难度;加强封号力度等等。
但“道高一尺,魔高一丈”,在刷单的世界里,总是不断有人因为利益加入进来,而老手们和职业刷单人们也总能找到新的漏洞和方法。
业内人士对腾讯科技表示,一些打车软件会采取人工审核的方式查看车主提交的证件是否齐全和准确,但不能百分百保证所有伪造证件都能查出。
滴滴出行也对腾讯科技表示,在缺乏政府帮助下,三证(驾驶证、身份证、行驶证)验真对于任何企业来讲,都是一个难度很高的事情,目前的人工审核可以避免大多数的虚假信息行为,我们也会通过一些合作伙伴来复核证件的真实性。而对于套牌车辆只要有相关反馈,可以马上进行核实,滴滴也在跟政府部门进行密切沟通,希望未来有关部门可以给出行平台更多的授权和协助。