可以找到某些行程的详细数据,包括地址、确切日期和时间
当 Uber 乘客到达目的地时,旅程可能已经结束,但有关旅程的信息可能会通过 Google 保留下来。
周四,在谷歌上对 trip.uber.com 进行特定网站搜索,会出现数十个已完成和取消的 Uber 行程链接,这些行程遍布美国、英国、俄罗斯、法国和墨西哥等国家。
每个链接都会转到一个网站,上面有显示乘车路线的地图,并用标记标记了上车点和目的地。页面上的卡片还显示了乘客和司机的名字,以及司机的照片、汽车品牌和型号以及车牌号。
地图的显示方式与司机和乘客在实际乘车时在智能手机上显示的一样。
如果这还不够令人不安的话,这些网站的源代码都是公开的,它揭示了更多信息。
在代码中,可以找到上车地点和目的地的准确地址,还可以找到汽车的车牌号以及乘车的准确日期和时间。
通过将地图上显示的信息与从源代码中收集的数据相结合,人们可以通过其他 Google 搜索了解大量有关这些乘客和司机的信息。
科技新闻网站 ZDNet 周四早些时候报道了这一发现。
Uber 发言人在一份声明中表示:“这不是数据泄露。我们发现所有这些链接都是乘客故意公开分享的。保护用户数据对我们来说至关重要,我们一直在寻找方法使其更加安全。”
2013 年,Uber 在其应用程序中添加了一项功能,让乘客分享他们的预计到达时间在骑行过程中与朋友和家人共享信息。借助该功能,骑行者可以通过短信发送实时地图链接,该地图会显示他们何时到达目的地。
Uber 发言人周四表示,谷歌搜索结果中包含的行程数据链接也曾在社交媒体网站上分享过,因此被谷歌缓存了。
Google 在其搜索结果中包含推文。
IT 安全公司 F-Secure 首席研究官 Mikko Hypponen 此前曾呼吁关注此事在 Twitter 上,并附上了他在 Google 上找到的 Uber 链接和地图的图片。
Uber 首席信息安全官 John Flynn作为回应称这些链接是用户故意分享的。
但即使这些链接可能是故意在网上分享的,用户可能也不知道它们的源代码中包含敏感数据,或者任何人都可以通过谷歌找到它们。
这些披露可能会引起一些 Uber 用户对隐私问题的担忧。一些用户可能会决定停止使用分享预计到达时间功能,而其他收到链接的用户现在可能会选择不在网上发布这些链接。
此前,Uber 的数据政策以及公司员工对个人乘客行程数据的访问级别曾引发争议。
去年年底,在所谓的“上帝视角”工具引起人们关注之后,Uber 聘请了华盛顿特区的一家律师事务所来审查其数据政策,该工具可让员工查看乘客日志和行程历史记录。
但这一次,在用户在线分享乘车链接的情况下,Uber 客户可能会发现自己必须进行自己的隐私检查。
(更正:该报道的早期版本错误地确认了回复 Hypponen 推文的 Uber 官员;回复者实际上是 Uber 首席信息安全官约翰·弗林 (John Flynn)。)
