近些年提供停车服务的微信公众号越来越多,虽然带来很大方便,但也可能存在潜在风险。近期有网友称,某停车服务公众号可随意绑定车牌,据此可以查询到相应车辆的停车记录。
笔者之前并没有使用过该公众号的停车服务,我尝试绑定车牌号,的确是可以直接输入号码就可以绑定,包括随意输入的车牌号,还可以绑定多个车牌号,并不需要真实信息验证,并且在此过程中,笔者账号并没有绑定手机号。
而其账户信息唯一的限制应该是,同一个车牌号只能绑定一个账户。
在正常使用该公众号的服务中,账户绑定车牌号,在特定的停车场产生停车记录之后,就可以在“停车记录”列表中查询到具体的停车信息,间接泄漏了你的用车轨迹。同时该品牌停车服务在支付宝也提供相同的服务。
致电客服询问后了解到,一旦车牌号绑定了公众号的某个账户,在进出该服务覆盖范围内停车场的时候就会识别出来,通过正常扫码支付产生的付款停车记录也会被记录到公众号停车记录中,包括进出时间等详细信息,但现金支付则不会。
假想一种场景,出于某种原因,你老婆将你的车牌号添加到她的账户中,一旦你在该公众号服务内某酒店的停车场使用停车服务,你老婆即可在停车记录中查看到。打电话过来询问时,你如果说在公司加班,就可以准备回家跪搓衣板了……
而这种途径被不法分子用于其他途径,则可能产生更严重的影响,细思极恐。
汽车牌照,相当于车辆身份证一般,是国家车辆管理法规规定的具有统一格式、统一式样,由车辆管理机关经过申领牌照的汽车进行审核、检验、登记后,与个人真实信息绑定的号码牌,添加到某个账户绑定竟然不需要任何信息验证的过程。
笔者注意到这个停车服务公众号使用用户应该并不多,而且主要针对某一个地区。而根据网友的反馈,很多停车服务公众号或者APP都存在类似的机制。
因此,这类停车服务在信息保护和验证环节的缺失,也导致了随之而来的隐私暴露问题。
*本文作者:Andy
声明:本文来自FreeBuf,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。