fenggou,信息安全,鸡尾酒,电吉他,摄影。 一提到车牌,就忍不住放这个梗…… 去年乌云君曝光了一些车主信息被非法交易买卖的事情,这些数据会从汽车销售商、总部客户系统中被泄露,然后用来做一些广告推销或违章诈骗等危害用户权益的行为,比如这样(apk 文件为 android 手机木马程序) 或这样 车辆信息除了汽车经销商,车辆管理等机构,更大的一个信息聚集地就是保险公司,因为车险是每个车主都必须要购买的,并且需要超详细的个人信息记录。那保险公司是否也会给用户造成不必要的泄密困扰呢? 有乌云白帽之前发现了阳光保险公司一个惊呆的漏洞 阳光保险某安全漏洞可查询海量车主信息(车架号、发动机号、姓名、身份证号等) ,只要你知道对方的车牌号码,就能够查询车辆以及车主信息,甚至还能查到其最近的违章记录! 首先进入该保险公司车险报价查询页面,输入你想查询的车牌号码与地区,然后个人信息随便填(对就是随便填写,不用与真实车主信息吻合),选个牛逼的号码 然后点击下一步,没挑战,车架号、发动机号、车主姓名、身份证号码都出来了 不同地区查询的信息结果不同,还可以更详细一些 车主信息指哪打哪,利用发动机号等信息还可以查询车主近期的违章记录,这用来诈骗不妥妥的?比如另个北京土豪号码近期的违章记录…… 车牌信息的定向查询,加上如今各种“社工库”的配合,能给车主带来不小的麻烦。随便上个路被黑客盯上了,一系列的麻烦可能会接踵而来。同样,各类的保险也是更多行业间信息泄露的另类途径。 网站:乌云漏洞报告平台 微博: 乌云君 微信: wooyun_org 联系邮箱: help@wooyun.org 发自知乎专栏「乌云君」
