深圳特区报2019年7月7日讯 只需简单地使用手机浏览器重新打开微信报价页面,就可以无限次数查看到他人报价金额。7月5日是深圳市小汽车增量指标竞价日,记者在协助朋友参与当期小汽车增量指标竞价时,偶然发现了该漏洞,通过上述简单操作,不仅可以轻而易举地查看到陌生人士的竞价报价金额,还可以查看到参与竞价的他人部分个人信息。
昨日下午,竞价活动的组织方深圳联合产权交易所与深圳交通运输局回应本报记者,证实了以上漏洞,并承认有190次个人报价信息被他人查看,占报价总次数57195次的0.33%。深圳市交通运输局表示,本次竞价结果未受影响,未造成本期竞价参与人身份证件、联系方式等敏感信息泄露。
7月5日上午9时, 记者使用朋友参与本期竞价的账号和密码,在微信上登陆微信公众号“深圳交通”相关栏目下的小汽车竞价服务后,就可以进入到“深圳市小汽车增量调控竞价平台”,查看该账号的所有正常信息。不过,在登入到个人信息界面和报价界面的时候,如果选择使用手机自带浏览器打开该界面,就可以查到陌生人士的敏感信息和报价金额,而这样的查看方式几乎是不限人数和次数的。随后,记者让另一位参与本期竞价的朋友用同样的方式尝试时,也可以发现同样的漏洞。而在平台的别的界面,同样使用手机自带浏览器重新打开界面,就可以查看到陌生人士的个人信息。这些陌生人士疑似为同期参与竞价的个人。
云某、时某、林某生、滕某灵、陈某杰、林某明、王某、彭某雅……记者只需不断重复“使用手机自带浏览器打开该界面”这一动作,就可以不停地查看到陌生人士的信息。
通过这一十分简单的操作,可以查看到陌生人士的姓名、申请编号、保证金账号、开户行、是否选择自动退保、银行到账金额等敏感信息。深圳联合产权交易所在昨日的回应中也证实了上述漏洞。
7月5日下午3时许,竞价活动结束后,本报新闻客户端“读特”刊发了记者发现竞价系统漏洞事件,该稿件引起了网民热议和各方关注。深圳联合产权交易所表示,根据竞价规则,在竞价结束前,任何人均无法获悉当期实际参与报价人数,190次前述操作无法分析判断出本次竞价所有参与人的报价分布,无法据此推断出最低成交价格。深圳市交通运输局昨日回应称,对于发现的漏洞,联交所立即对竞价系统进行了修复,于当日下午4:40完成修复工作。深圳市交通运输局表示,已要求联交所再次对竞价系统进行全面深入排查,杜绝类似事件再次发生。同时,将立即组织第三方安全检测机构对竞价系统进行评估,确保系统安全平稳运行和竞价活动顺利开展。感谢社会各界对深圳市小汽车增量指标竞价活动的关心和关注。 (陈震霖)