Gogoro 共享機車服務 GoShare 於 10/21 進軍台北,讓台北人也可以享受共享 Gogoro 的便利;此外,除了先前在桃園營運的 Gogoro 2,GoShare 又新增了新上市的 Gogoro VIVA 車種,提供通勤者更輕便的選擇。
雖然 GoShare 讓通勤者只要付幾十元的錢就可以騎車,不需要花上萬元買一台 Gogoro,但網友 ZW Cai 指出,GoShare 會讓騎乘者的隱私外洩。
這是怎麼回事?
透過 GoShare 車牌,就可以推測使用者的住家與工作地點?
根據 ZW Cai 在 FB 上的貼文,他表示,Goshare 在某種程度上可以用來窺探隱私,並列出有心人士可能操作的方式:
首先,記下 GoShare 的車牌,透過監看 API 結果變化,就可以取得該車的停車地點 GPS。透過車輛電池剩餘量變化和起訖時間、地點位置,交差比對換電站的 GPS 位置,可以間接找出被借出的過程中使用者可能經過的地點,反推出該使用者所走的路徑;再透過交差比對相近停車地點範圍多次租借紀錄,可以推測出使用者的常用地點,例如工作、住家的大概位置。
此外,ZW Cai 表示,因為 GoShare 的設計架構,相關 API 即使沒有帳號也可以直發出請求,並在完全沒登入的狀態下監看 GoShare 的租借狀況。也可以透過 UUID 對應車牌號碼,間接獲得車輛資料。
https://www.facebook.com/photo.php?fbid=1700472893422911&set=a.288170241319857&type=3&theater
不可能把車牌遮住,解決方式應是加強後台資安防護
根據該名網友的推論,全台的 GoShare 都有騎乘者隱私遭窺探的風險,畢竟 GoShare 不可能把車牌號碼遮住。能夠解決隱私窺探的方法,就是加強後台系統的資安防護,讓有心人士無法從車牌號碼抓出該車的 GPS、車籍資料、騎乘紀錄、騎乘者資料等資訊。
除了 GoShare,Wemo、iRent 等車輛共享平台也可能遭到類似的隱私侵犯,這些平台都需要做好足夠的資安防護。或許這些平台已經考量到這類攻擊,並做好足夠的防務措施,沒有使用者的個資因此外洩,但透過 ZW Cai 的分享,也能幫助使用者建立資安意識,因為共享經濟是世界趨勢,聯網設備將在 5G 商轉後成指數性的增加,AI 技術可以提升攻擊者的能力,我們的個資外洩機會勢必增加。
GoShare 提出說明:民眾僅能得知車牌與起訖點,並未涉及乘客個資
GoShare 針對 ZW Cai 的質疑提出說明:
其實與看到公車車牌、捷運班次等大眾運輸工具的資訊一樣,民眾僅能夠得知一台 GoShare 車輛的車牌號碼,以及該車的起訖點,這些資訊並未涉及到使用此車輛的乘客個資,僅憑此資訊也無法得知乘客的騎乘資料和使用型態。GoShare 從服務上線的第一天起,設計架構和系統就已經有嚴密的防護機制來保障用戶資料安全,因此也請用戶放心。
參考資料來源:
1. 《ZW Cai 臉書帳號》:〈其實 Gogoro Taiwan 的 GoShare 共享機車服務某種程度上可以用來窺探隱私(?)〉
(本文提供合作夥伴轉載。首圖來源:GoShare 粉專)
延伸閱讀
Akamai 2019 資安報告:遊戲產業成駭客最新「攻擊目標」,一年半網攻次數破百億
【個資之謎】外公生前從沒上過網,Google 查到的個資竟比親人知道的還多!
瀏覽網站就被植入惡意碼,中國政府利用 iPhone 監控維吾爾族
