騎 GoShare 可能讓你的住家位置外洩?有心人士可透過車牌號碼與 API 推算

GoShare 機車。圖片來源:GoShare 粉專

Gogoro 共享機車服務 GoShare 於 10/21 進軍台北,讓台北人也可以享受共享 Gogoro 的便利;此外,除了先前在桃園營運的 Gogoro 2,GoShare 又新增了新上市的 Gogoro VIVA 車種,提供通勤者更輕便的選擇。

雖然 GoShare 讓通勤者只要付幾十元的錢就可以騎車,不需要花上萬元買一台 Gogoro,但網友 ZW Cai 指出,GoShare 會讓騎乘者的隱私外洩

這是怎麼回事?

透過 GoShare 車牌,就可以推測使用者的住家與工作地點?

根據  ZW Cai 在 FB 上的 貼文 ,他表示,Goshare 在某種程度上可以用來窺探隱私,並列出有心人士可能操作的方式:

首先,記下 GoShare 的車牌,透過監看 API 結果變化,就可以取得該車的停車地點 GPS。透過車輛電池剩餘量變化和起訖時間、地點位置,交差比對換電站的 GPS 位置,可以間接找出被借出的過程中使用者可能經過的地點,反推出該使用者所走的路徑;再透過交差比對相近停車地點範圍多次租借紀錄,可以推測出使用者的常用地點,例如工作、住家的大概位置。

此外,ZW Cai 表示,因為 GoShare 的設計架構,相關 API 即使沒有帳號也可以直發出請求,並在完全沒登入的狀態下監看 GoShare 的租借狀況。也可以透過 UUID 對應車牌號碼,間接獲得車輛資料。

其實 Gogoro Taiwan 的 GoShare 共享機車服務某種程度上可以用來窺探隱私(?)- 看到路上有人在騎 GoShare,只要記下車牌,透過監看 API 結果變化就可以在最後停止租借後取得該車的停車地點 GPS。-…

Posted by ZW Cai on Sunday, 27 October 2019

不可能把車牌遮住,解決方式應是加強後台資安防護

根據該名網友的推論,全台的 GoShare 都有騎乘者隱私遭窺探的風險,畢竟 GoShare 不可能把車牌號碼遮住。能夠解決隱私窺探的方法,就是加強後台系統的資安防護,讓有心人士無法從車牌號碼抓出該車的 GPS、車籍資料、騎乘紀錄、騎乘者資料等資訊。

除了 GoShare,Wemo、iRent 等車輛共享平台也可能遭到類似的隱私侵犯,這些平台都需要做好足夠的資安防護。或許這些平台已經考量到這類攻擊,並做好足夠的防務措施,沒有使用者的個資因此外洩,但透過 ZW Cai 的分享,也能幫助使用者建立資安意識,因為共享經濟是世界趨勢,聯網設備將在 5G 商轉後成指數性的增加,AI 技術可以提升攻擊者的能力,我們的個資外洩機會勢必增加。

GoShare 提出說明:民眾僅能得知車牌與起訖點,並未涉及乘客個資

GoShare 針對 ZW Cai 的質疑提出說明:

其實與看到公車車牌、捷運班次等大眾運輸工具的資訊一樣,民眾僅能夠得知一台 GoShare 車輛的車牌號碼,以及該車的起訖點,這些資訊並未涉及到使用此車輛的乘客個資,僅憑此資訊也無法得知乘客的騎乘資料和使用型態。GoShare 從服務上線的第一天起,設計架構和系統就已經有嚴密的防護機制來保障用戶資料安全,因此也請用戶放心。

參考資料來源:
1.《ZW Cai 臉書帳號》:〈 其實 Gogoro Taiwan 的 GoShare 共享機車服務某種程度上可以用來窺探隱私(?)
(本文提供合作夥伴轉載。首圖來源:GoShare 粉專

延伸閱讀

Akamai 2019 資安報告:遊戲產業成駭客最新「攻擊目標」,一年半網攻次數破百億
【個資之謎】外公生前從沒上過網,Google 查到的個資竟比親人知道的還多!
瀏覽網站就被植入惡意碼,中國政府利用 iPhone 監控維吾爾族

點關鍵字看更多相關文章: