对公交一卡通泄露隐私事件的一些分析，欢迎大家补充~

scanywhere

事件回顾：
      10月10日消息，对于北京市用户而言，北京市政一卡通给人们出行和生活带来很多便利。不过，一则应用却将北京市政一卡通推向风尖浪口。金山安全反病毒工程师李铁军昨日腾讯微博爆料，北京市政一卡通可以精确追踪持卡人的具体行踪。
　　李铁军称，想知道某个人每天去哪儿，不需要雇佣私家侦探，只需要记下他的一卡通卡号，上一卡通官方网站对方一切动态均可查询。以上图为例，输入用户卡号，这一用户在什么时间上车，从A位置到B位置，中途多长时间均可查询。
　　对此，有网友感叹说：“要知道别人的一卡通卡号才有追踪的意义，要知道卡号应该也不会太难。确实有点恐怖了！”另一网友表示：“早都发现这个问题了，当时还想搞一个小东西来在地图上标识出一个用户的所有轨迹，后来太忙就没搞。确实想不明白为什么要公开这个信息。”
　　也有网友指出：刚查了一下自己的公交卡，发现其查询记录并不是即时更新的，所以查询结果与卡内信息一般都存在差异，而且卡里面最新的记录才更新到10月6号。而且并不能定位到地理位置，所以存在的安全隐患不是很大。
　　李铁军表示，拿到一个人公交卡是很简单的事。“而且，这个信息查询，是一点儿限制也没有。和北京市政一卡通比起来，神马苹果收集用户位置信息，神马LBS，全都弱爆了。”
　　据悉，北京市政一卡通除能在本市乘坐公共交通工具外，还有多项其他功能，如在超市、电影院、医院、公园内刷卡消费。同时，如果一卡通和电信、联通推出的手机卡进行过绑定，还能够为手机充话费。
不过，一卡通最近一直风波不断。此前还出现奇虎两工程师利用公交一卡通漏洞破解密码后恶意充值的案例，对此，北京市政公交一卡通官方也称，一卡通芯片的漏洞问题已经通过更换芯片和系统升级等方法进行弥补。

安软点评
      距离北京公交IC卡被破解恶意充值的新闻不到半个月，一卡通又暴出安全新闻。虽然这次安全事件我们认为与前面的一卡通被破解相比危害性要小，却显示出 “隐私安全”这一新的安全需求正在日益突显。
      在此之前，我也曾使用一卡通官方网站查询我公交IC卡的消费情况，因为我总觉得有时候扣费不太正常。甚至我还据此投诉了一位公交司机，因为他的下车刷卡器坏了，害的我们全车的乘客都因为“下车不刷卡”被罚款。这么看来，能够查询到公交IC卡的消费记录还是有好处的。
我们生活在这个信息社会，很多东西会泄露我们的信息。手机和电话、即时通讯工具、汽车牌照、单位和住址、微博和论坛、电子邮件、淘宝评价可以泄露我们的很多个人信息；现在甚至还有微信、谷歌纵横等LBS应用可以随时你的定位具体位置。与这些相比，可以说公交IC卡消费查询在这方面的负作用其实并不算大。
      但我们也应该注意到，现在个人资料被房地产中介、汽车销售人员、妇产医院贩卖的情况屡见不鲜。人肉搜索与网络暴力行为也付出水面，比较著名的有虐猫女、3377、铜须门等网络事件。每个人的行为，只要符合网络传播的特点，就可能短时间内被迅速放大，快速传播，甚至影响正常的生活。
      这些使我们在享受互联网带来的便利的同时，也在必须思考个人隐私安全保护的问题。

安软观点
      公共服务提供商掌握了大量的公众信息，很多隐私泄露的案例都是因为其信息系统存在安全漏洞或者管理问题，造成大量客户信息被外部的黑客或者内部工作人员盗取，并且一般都伴随着进一步的违法行为。
      这些海量公众信息对公共服务提供商既是一座值得挖掘的富矿，也是充满危险的雷区。通过数据挖掘，提供商可以生产具有更高附加值的信息产品；而如果数据丢失，提供商则面临法律诉讼或者客户资源丢失等风险，影响企业的持续经营。
      通过身份认证与数据加密的方法，可以有效防止客户信息泄露的风险。在信息系统设计时，就应充分考虑内部与外部的安全威胁，在关键的节点上采取安全措施，实现“进不来、拿不走、打不开、赖不掉”。

安软提示
      北京安软天地科技有限公司多年来为银行、保险、电信、医疗等公众服务行业提供专业的应用安全解决方案。我们通过身份认证、访问授权和数据加密等安全手段，可以有效地保护您信息系统中的客户资料和其他核心信息资产的安全。