男子发现车险平台漏洞 输入车牌可查车主信息

　　罗先生输入北京一车牌号，以“张三”的假名字查询相关车牌信息，结果查询到车主真实姓名、发动机号、车架号等信息

　　只需要输入一个车牌号，通过京东金融网站的“阳光车险”，一次点击后等待数秒，这块车牌号相应的车辆车架号、发动机号、车型，甚至车主的姓名、身份证号就会出现。几天前，这样的情景让成都一位从事计算机工作的罗先生惊讶不已。

　　而直到今（9）天下午14时前后，车主的个人信息仍可通过这种方式被随意获取。罗先生告诉记者，发现这个情况后，他与自己的学生作了交流，随后其学生反馈给了国内知名漏洞检测平台乌云网。四川新闻网记者注意到，乌云网最新确认的漏洞信息中，“阳光保险某安全漏洞可查询全国任意车主信息（车架号、发动机号、姓名、身份证号等）”赫然在列。

　　输入车牌号 就能查到车架号、车主姓名、身份证……

　　成都的罗先生从事与计算机相关的工作，前几天听说京东上买车险有优惠，他便登录京东金融，选择进入“阳光保险”车险相关页面。

　　“听说了太多个人信息泄露的烦恼。”罗先生表示，害怕遭受电话骚扰，他便随便填了一个车牌号，并以“张三”和“dddd@qq.com”进入到下一步。让他惊讶的是，页面出现了这块车牌号对应的车辆车架号、发动机号，以及车主姓名等信息。随后，他用自己和朋友的车牌号分别测试，相似的情形再次上演，而且显示的信息与真实信息一致。

　　为了确认情况，他制作了一则视频。“不仅是四川车主，外地车主身份信息也可在该页面通过此种方式查询。”从视频中，记者注意到，罗先生尝试了北京、成都的多个车牌号，结果都类似，甚至一块“川A***95”车牌的查询结果，还完整的出现了身份证号：“510132************”。

　　按照罗先生的方法，今（9）日中午四川新闻网记者进入京东金融页面，很快找到“车险”下的阳光保险网上投保业务。记者输入5位志愿者车牌号后，均出现了相应的车架号、发动机号以及车主姓名，有的还显示车品牌型号、配置型号和注册登记日期。经验证，仅有一例与真实信息不符。不过5位志愿者的身份证号并未出现。

　　在京东金融下阳光车险页面，记者通过车牌号川A查询到车主的姓名、身份证号和车架号、发动机号以及车辆型号等信息

　　阳光保险：官网正常 京东金融：已不可查询

　　今日下午，阳光保险集团一名工作人员与记者取得联系，“车险的后台数据全国是统一的。”他表示，阳光保险的官网并未出现该问题。“如果出现这样的问题，第一时间我们会收到通知。”但他们并未通知。不过他向记者介绍，正常来说，京东金融下的阳光保险车险是跳转链接到阳光保险官网的后台数据。

　　在与京东金融客服联系之后，接听人员表示将会反馈后回复。今日下午17时50分前后，京东金融工作人员联系记者表示，目前（在该平台输入车牌号即可看到车辆相关信息）已经不可查询。不过对于此前车主个人信息可以随意获取，她表示需要反馈至相关部门并核实。“之前我们还没遇到过这样的情况。”

　　成都“技术男”发现漏洞 其学生向专业平台报告

　　今日下午14时前后，京东金融车险的阳光保险页面，已经不能通过此种方法获取相应的个人信息。“我今天一直在监控，可能网页已被修改，漏洞被弥补。”罗先生表示，自己首先发现车主信息泄露的情况后，与自己的学生曾有交流。“结果他去乌云网（国内知名漏洞检测平台）报告了。”

　　四川新闻网记者注意到，乌云网“最新确认”中，“阳光保险某安全漏洞可查询全国任意车主信息（车架号、发动机号、姓名、身份证号等）”赫然在列。其标准的漏洞类型为“设计缺陷/逻辑错误”；漏洞状态为“厂商已经确认”；危害等级为“高”；同时，漏洞详情中显示厂商确认时间为“2015-12-08 19:49”。

　　罗先生告诉记者，他从事计算机相关工作，发现这个漏洞是碰巧上该平台购买保险。或许是出于职业技术的敏感性，他才发现了这一高危漏洞。

乌云网：“阳光保险某安全漏洞可查询全国任意车主信息”

　　律师：侵犯公民隐私权 警方：不法分子可利用做套牌

　　“我以为会是像黑客那样复杂，谁知得到我们的个人信息那么简单！”当得知点几下鼠标、输入车牌号就可以得到车主的个人信息时，今日中午参与测试的志愿者漆先生表示难以置信。“只要车牌号、车架号，又可以查询到车辆违章等其他信息。”今日中午参与测试的志愿者龙先生表达了自己的担忧：“有了这些信息，可以做假的车辆行驶证吧？”

　　交警部门向四川新闻网记者介绍，如果不法分子掌握了车主的这些信息，可以伪造行驶证、机动车注册登记等相关证件，从而达到套牌的目的，躲避法律打击。另一方面，刑连超律师认为，这侵犯了公民的隐私权。“仅凭车牌号就能查询到其他信息，这样肯定是不妥当的。”（记者 彭亮）