洛阳社区

标题: “洛阳城市停车”公众号部分功能存漏洞 可随意查询他人车辆欠费信息 [打印本页]

作者: 散步者    时间: 2023-3-24 09:08
标题: “洛阳城市停车”公众号部分功能存漏洞 可随意查询他人车辆欠费信息
    3月16日,有洛阳市民李先生“洛阳城市停车”微信公众号给自家车辆缴纳费用时发现,该微信公众号的部分功能或涉嫌泄露车辆信息。据李先生介绍,3月15日晚,他闲暇时通过“洛阳城市停车”微信公众号查询了自己轿车欠费情况,准备支付停车费用。
    然而这一查,让李先生发现一些问题,“洛阳城市停车”微信公众号不仅能查自己车辆的欠费,连亲戚、朋友车辆的欠费情况也能查的清清楚楚,甚至能通过亲友车辆的欠费情况,基本掌握他们的出行轨迹。
    “以我爱人车辆的欠费情况为例。”李先生说,他的妻子在洛阳市涧西区创业路附近上班,因离家较远,平时需开车上下班,而单位停车位较少,李先生的妻子每次晚到单位,就只能将车辆停放在创业路两侧的路内泊位,再去上班。
    “起初,我爱人还会主动缴纳停车费,但是时间长了总会忘记,每次都是想起来再缴。”李先生将通过“洛阳城市停车”微信公众号查询到其妻子车辆欠费的情况让记者查看。
    记者注意到,李先生妻子的停车欠费记录显示,从去年12月份至今,该车辆经常停泊于创业路(芳泽路-南苑路)东西双侧路段,共有4条欠费记录,每次停车时长约9小时。
此外,李先生还当记者面查询了自己其他亲友的车辆欠费信息。
    “查询到的内容与我亲友的家庭住址、单位等信息基本一致,再加上可以通过114联系上车主,我担心这些信息结合在一起,会被不法分子利用,甚至对社会造成无法挽回的损失。”李先生说。

【查询】有车辆停泊时间长达460余天,欠费4600余元

    根据李先生提供的线索,大河报·豫视频记者通过“洛阳城市停车”微信公众号对身边亲友的车辆欠费情况进行了查询,查询结果与李先生反映的情况一致。
    记者注意到,点击“洛阳城市停车”微信公众号对话框下方菜单“停车缴费”会弹出“优惠充值”“无感停车”“路内缴费”“场内缴费”以及“个人中心”选项。
    其中点击进入“路内缴费”“场内缴费”和“无感停车”选项后,无需绑定行车证就可随意查询任意车辆的欠费情况,同时,还可帮该欠费车辆缴费。
    3月20日,记者随机通过“场内缴费”选项对洛阳市一些特殊号牌车辆进行了查询。如豫C0***1、C0***3、豫C0***6、豫C0***8等。
查询结果显示:
  豫C0***1号牌车辆于2022年10月2日下午1时许,停泊于文博广场停车场(充电站),截至查询时,该号牌车辆已停泊在该停车场达169天,欠停车费1693元;
  豫C0***3号牌车辆于2021年12月13日上午8时许,停泊于王城桥北桥下停车场(充电站),截至查询时,该号牌车辆已停泊在该停车场内达462天,欠停车费4623元;
  豫C0***6号牌车辆于2022年8月30日下午4时许,停泊于涧西青少年宫停车场,截至查询时,该号牌车辆已停泊在该停车场内达201天,欠停车费2020元;
  豫C0***8号牌车辆于2022年6月15日上午10时许,停泊于文博广场停车场(充电站),截至查询时,该号牌车辆已停泊该停车场达278天,欠停车费2783元。

【走访】三辆车明明在洛龙区,查到的信息却显示正停泊在其他区

    3月20日上午,记者沿开元大道、厚载门街、政和路、市府西街等路段进行了走访,并使用“洛阳城市停车”微信公众号对路旁停放车辆随机进行查询。
    上午9时许,一辆车牌号为豫C8***K的银灰色大众轿车正停泊在厚载门街与政和路交叉口东半幅辅道的路内停泊车位上。
    记者使用“洛阳城市停车”微信公众号的“路内缴费”选项查询了该车辆的欠费情况,该车辆自2021年4月11日起至今共有112条欠费信息,共欠费800余元,其中欠费金额最高的一次是2022年2月25日下午3时许停泊于厚载门街(古城路-开元大道双侧)停泊车位,共停泊10天18小时32分钟,欠费金额为33元。
    上午9时50分许,一辆皮卡车(车牌号为豫CCG952)停泊在政和路与长兴街交叉口附近。
    记者查询该车辆欠费信息发现,该车辆自2020年11月27日至今共有157条欠费信息,每条欠费均为3元,共计欠费471元。此外,该车辆经常性停泊于厚载门街(古城路-开元大道双侧)车位。
    上午10时许,记者来到洛龙区政和路与市府西街交叉口西南角,在该处院内停泊着多辆印有“卫生监督”字样的面包车。
    其中通过“洛阳城市停车”微信公众号查询豫C075ZP、豫C032WR的车辆欠费信息发现,这两辆车目前应当正停泊于“第三人民医院北院停车场”。
    据悉,“第三人民医院北院停车场”位于瀍河区瀍涧大道附近。
    豫C075ZP的欠费信息显示该车辆于2023年2月15日上午10时许停泊至今已欠费330元;豫C032WR的欠费信息显示该车辆于2023年2月23日下午3时许停泊至今已欠费250元。
    另外,洛龙区永泰街与政和路交叉口东南角院内,停泊着一辆印有“公务用车”字样的商务面包车,车牌号为豫CN1911。
    经查询显示,豫CN1911车辆于2023年2月25日上午10时许停泊于银座地面停车场,目前欠费已达230元。而银座地面停车场位于涧西区景华路附近。


【回应】负责人表态,如发现车辆信息泄露的风险,下一步会积极改正
    记者注意到,“洛阳城市停车”微信公众号的认证主体为“洛阳崇弘停车场投资建设管理有限公司”。
    3月22日下午3时许,记者拨打了该微信公众号上显示的客服电话(尾号为555),并将该微信公众号部分查询功能或涉嫌泄露车辆信息一事反映至接听电话的女性工作人员。
    该女性工作人员称,一般情况下,不会有人去查询不是自己的车牌信息,而且该微信公众号自推出查询功能后,系统就一直如此设定,即不需要绑定行车证查询车辆信息。
    此外,该工作人员强调,即便查询到车辆信息也不显示具体的泊位号。
    记者询问,如果该信息被不法分子利用,且通过查询到车辆信息,推断出车主的出行轨迹,该如何防范?
    女性工作人员坚称,显示的信息没有泊位号,不算泄漏隐私。
    随即记者再次询问,停泊在洛阳城市停车场的车辆,通过车牌号能够精确定位车辆停泊在哪个停车场,又该如何解释?
    该女性工人员仍表示,一般人不会去查,而且只有缴费的车辆才能离开停车场。
女性工作人员的该说法,与本报道上文提及的车辆停泊在洛龙区,查询到的停车信息却显示在瀍河区、涧西区不符。
    最后,女性工作人员表示,此公众号为洛阳崇弘停车场投资建设管理有限公司研发中心开发,而客服部也属于该公司。她会将反映的问题上报公司领导,但是研发中心可能不会回复反映的情况。
    因为未能接到研发中心的回复。3月23日下午2时40分许,记者联系到洛阳崇弘停车场投资建设管理有限公司主要负责人,并将市民反映以及走访的情况告知该负责人。
    该负责人表示,会正确面对该问题,如果发现车辆信息泄露的风险,下一步会积极进行改正;如果(可查询他人车辆欠费)属于正常的情况,会向车主进行说明。同时,他还表示,如车辆查询信息与实际停放位置不一致,有可能网络或系统问题。
    截至记者发稿前,该微信公众号仍能够随意查询他人车辆欠费信息。
【律师】泄漏信息造成他人损失,且起主要核心作用,将承担大部分责任
    针对此事,记者咨询了法律界人士。有律师表示,任何人都无权随意查看他人车辆的位置信息、停留时间信息以及欠费情况等,如果操作者未经车主授权,平台运营方也未经车主验证,由此导致公民个人隐私泄露,造成损失的,“平台运营方肯定是有责任,而责任大小一是由法院根据事实情况进行判定;二要看泄漏信息对造成的损失起多大作用,如果起主要核心作用,肯定要承担大部分责任。”
    河南博同律师事务所律师吕银果认为,该微信公众号在部分功能设计时是存在漏洞的,平台方未对公民的个人信息采取保护措施,媒体可以将此事反映至该公司,该公司应当予以更正;如未更正,可继续向主管部门进行反映,由主管部门勒令其进行更正。
    “如果是主动泄露个人信息,如一些物业公司、营业厅等泄露或贩卖掌握的个人信息,达到一定的数量就会触犯《刑法》”吕银果说。
(以上均为3月20日调查到的数据)



作者: 海汉    时间: 2023-4-20 21:16
没有及时更新




欢迎光临 洛阳社区 (https://bbs.lyd.com.cn/) Powered by Discuz! X3.2