“德慧停车”小程序存在大漏洞
张磊 常学艺 刘超
记者 郝东智 德州报道
车去过哪里、在哪停过,属于个人隐私,这些信息怎么能让别人随便查询?近日有德州市民向齐鲁晚报·齐鲁壹点反映,德州智慧停车项目“德慧停车”小程序无须验证,就能随意捆绑他人车辆号牌,查询停车、缴费信息等,个人信息疑遭泄露。
“今天(7月19日)我在三八路,通过德州智慧停车小程序绑定车辆时,不小心输错车牌号,但还是顺利地绑到了我名下。”市民孙先生出于好奇,没有及时解绑车辆,而是通过小程序查看了车辆的停车信息。通过订单信息,不仅看到该车的停车时间地点,还能看到订单缴费欠费情况。之后,他又随机输入一些车牌号,都顺利绑定成功,“德州智慧停车运行好几年了,没想到还有这样的漏洞。”孙先生觉得有些不可思议。
为验证市民反映的情况,7月19日,齐鲁晚报·齐鲁壹点记者在德州湖滨大道一智慧停车区内外,随机采样十多张车牌信息,并通过“德慧停车”微信小程序,与个人微信绑定。绑定过程“一路绿灯”,也都能通过订单信息查询车辆的历史停车信息、缴费信息等。
记者在德州街头随机采访,多位市民称曾绑定“德慧停车”小程序,缴过费。但都不知道小程序能随意绑定别人的车辆,对这种漏洞,大家都觉得不可思议。
在测试中,记者还发现了更大的漏洞。记者将同事的车辆信息绑在个人名下,将历史缴费订单合并后,提交信息即可开具发票。也就是说:在无须缴费的情况下,可以用他人的订单为自己开具发票。但7月22日,记者再次登录“德慧停车”小程序,发现“停车服务”中的发票功能不见了,开发票没了线上渠道,系统也未作说明。
公开信息显示,2021年3月22日,德州中心城区“智慧停车”项目正式启用,首批车位设置在马市街、黎明街、太平街、商业街四条街道,共116个。截止到2023年10月份,建设运营路内路侧智慧停车泊位7000余个,智慧停车场达到11个。“智慧停车”项目是在德州市交管部门指导下,由德州市交投集团下属静态交通公司负责建设运营管理。根据该市“智慧停车”整体规划,通过静态交通智慧停车数据管理平台将在全市实现“一张网一平台”,为智慧交通提供大数据支撑。