北京一卡通涉嫌泄密 金山安全專家提隱私保護四點建議

10月10日，金山毒霸安全專家李鐵軍通過微博爆出北京市政一卡通網(wǎng)站涉嫌暴露用戶隱私。因截止今年上半年，北京公交一卡通已發(fā)卡超過2000萬張，該事件涉及每一位北京居民的信息安全，引發(fā)媒體和網(wǎng)民高度關(guān)注。筆者從網(wǎng)友的熱烈回應(yīng)和討論來看，大多數(shù)網(wǎng)民非常關(guān)注個人隱私問題和安全信息，也有部分網(wǎng)民或企業(yè)對隱私安全缺乏認(rèn)知或忽視。

因這條微博的火爆轉(zhuǎn)發(fā)，大量網(wǎng)友嘗試查詢自己的一卡通行蹤記錄，導(dǎo)致北京市政一卡通網(wǎng)站訪問緩慢甚至無法登錄。但從多個網(wǎng)友成功查詢的截圖看，該查詢服務(wù)不需要任何身份驗證，即可輕而易舉的查詢到持卡人的每日出行信息甚至消費細(xì)節(jié)。

也有網(wǎng)友稱北京市政一卡通是匿名的，不用過于擔(dān)心。還有專業(yè)人士稱，這是物聯(lián)網(wǎng)的組成部分。李鐵軍指出，看起來的確是匿名，但有心人得到別人的一卡通號碼根本不成問題。若是物聯(lián)網(wǎng)的組成部分，則更需要對隱私風(fēng)險進行安全審查。

在我們?nèi)粘Ｊ褂玫目萍籍a(chǎn)品中，有很多科技應(yīng)用存在被惡意利用的風(fēng)險。比如：國外Facebook、Twitter應(yīng)用非?；鸨?，有人把外出度假的計劃發(fā)布在Facebook上，結(jié)果竊賊在Facebook上搜索一下哪些人外出度假，再按圖索驥實施偷竊行為。

智能手機、iPad上有不少應(yīng)用與個人信息相關(guān)。比如微博常見網(wǎng)友使用街旁(一種LBS應(yīng)用，記錄位置信息)簽到，那么此人的行蹤就完全暴露。對惡意的應(yīng)用，后果更加嚴(yán)重了。比如前一段時間眾多媒體報道過手機后門程序，監(jiān)聽手機短信、通話記錄和GPS定位信息，攻擊者可以監(jiān)聽目標(biāo)手機的一舉一動。

如何預(yù)防這些風(fēng)險呢，金山安全專家提出以下四點安全建議供網(wǎng)民參考：

1.就目前披露出來的信息看，北京公交一卡通的確涉嫌存在暴露用戶出行隱私的情況，建議一卡通官方網(wǎng)站關(guān)閉查詢服務(wù)，提高查詢門檻。允許市民憑有效證件到指定地點查詢， 并保留查詢記錄。市民如果擔(dān)心行蹤泄露，不妨多備幾張一卡通，輪換使用。

2.在微博、開心網(wǎng)、人人網(wǎng)、騰訊空間、相冊等高度敏感的應(yīng)用中，盡量少公開對個人非常重要的隱私信息。所謂說者無意，聽者有心，隱私會這樣被有心人收集。

3.智能手機、iPad用戶，可檢查哪些應(yīng)用在使用定位服務(wù)。關(guān)閉一些高度敏感，高度危險的定位服務(wù)，除非自己真的需要。

4.木馬或后門程序?qū)﹄[私信息保護高度危險，不管是在電腦上，還是在智能手機上，使用安全軟件保護系統(tǒng)尤為重要。安裝手機應(yīng)用軟件，盡可能使用官方應(yīng)用商店，盡量避免在第三方網(wǎng)站下載來歷不明的軟件。