自驾已经成为了很多朋友境外旅行的首选,以往大家订车会选择官网或者OTA网站,而在专业租车平台做大以后,又不少朋友会考虑选择服务相对完善的租车平台。去哪浪群的群友BrokeXX同学最近打算去境外自驾,但在选择网站和租车公司对比优惠的时候,却发现了一件非常可怕的事情:他通过广告链接看到了别人的租车订单和个人信息。
个人信息通过广告短信群发了
BrokenXX同学在2月24日下午收到了一条群发的广告短信,提示他有一张50元的海外租车优惠券,正好BrokenXX同学有境外租车的刚需,于是点击链接进去看了一眼。这一看可不得了,连惠租车账号都没注册过的他,竟然看到了别人的租车订单。
咋一看这个网站还同时挺正常的,是东航和惠租车的合作网站,「东方万里行」会员可以领50元新人租车券(广告短信里发的),每消费1元还可以返1点积分。但这里看不到登陆界面,右上角只有一个「订单」,按理说点「订单」进去应该被要求登陆才对,但BrokenXX同学点进去之后却看到了好几个人的订单详情。
订单列表里有四个人的订单信息,两单确认两单取消,分别是夏威夷、奥克兰、黄金海岸和凯恩斯的订单,驾驶员名字全部都不一样。
点开其中一个带有「惠驾天下补充保险」的订单,可以清楚地看到订单编号、提车凭证号、取换车时间和地点等信息,「驾驶员信息」一栏可以看到姓名、出生日期、手机号码、邮箱和航班号,东航会员号一并展示,最可怕的还是保险单的详情,里面连身份证号都一起显示了。
再点开另外一个确认订单,依旧可以看到详细的个人信息。因为他没有买补充保险,所以看到没有显示保险详情,算是「保住了」身份证号的信息。而取消的订单也是类似的情况,所有个人信息泄漏得一干二净。
起初我以为这只是数据BUG,有可能是我注册过惠租车账号的原因,但我发给另外一些没有注册过惠租车会员的朋友,他们依旧可以正常打开链接并且看到这些个人信息;不同的苹果和安卓设备也能正常打开;我又尝试将Chrome,Firefox和Safari三款浏览器的缓存和Cookies全部清空,依旧可以正常打开链接并且读取订单里的个人信息。
从2月24日下午17:00开始,到发文的2月27日上午9:00截止,整整过去了64小时,这个链接一直能正常打开,也就是说这个BUG一直都在,而且当成优惠券的领取链接不知道被群发给多少人了,细思极恐啊!相关情况我已经录屏保存,但实在懒得去模糊视频中的个人信息,这里就不发了。
最近酒店集团或航空公司出现个人信息泄漏的问题还真不少,但大多数都是不法分子的恶意入侵所导致的,这次惠租车直接主动将个人信息泄漏得一干二净,情况还真有点罕见。目前已知的案例就这么一个,不知道其他人收到类似的短信,是否存在能够打开订单详情的情况。但无论如何,如此严重的安全隐患还是希望惠租车平台给出一个合理的解释并尽快修补漏洞,毕竟大家上你们家平台是去租车的,而不是去「裸奔」的。