可以找到某些游乐设施的详细数据,包括地址以及确切的日期和时间
当优步乘客到达他或她的目的地时,旅程可能已经结束,但有关它的信息可以通过谷歌继续存在。
周四,在谷歌上对 trip.uber.com 进行特定网站搜索后,出现了数十个已完成和取消的 Uber 乘车链接,涉及美国、英国、俄罗斯、法国和墨西哥等世界各国。
每个链接都会指向一个网站,其中包含显示乘车路线的地图,并用标记标记了上车点和目的地。页面上的卡片还显示乘客和司机的名字,以及司机的照片、汽车品牌和型号以及车牌号。
驾驶员和乘客在智能手机上看到的地图与实际骑行过程中的地图一样。
如果这还不够麻烦的话,这些可公开访问的网站的源代码揭示了更多信息。
在代码中,可以找到接送地点和目的地的确切地址。汽车的车牌以及确切的乘车日期和时间也可以。
通过将地图上显示的信息与从源代码中收集的数据相结合,人们可以通过其他谷歌搜索了解有关这些乘客和司机的大量信息。
科技新闻网站 ZDNet 周四早些时候报道了这一发现。
Uber 发言人在一份声明中表示,“这不是数据泄露。我们发现所有这些链接都是乘客故意公开共享的。保护用户数据对我们来说至关重要,我们一直在寻找使其更加安全的方法。”
2013年,Uber在其应用程序中添加了一项功能,让乘客可以分享他们的预计到达时间骑行期间与朋友和家人一起。借助该功能,乘客可以通过短信发送链接到实时地图,显示他们何时到达目的地。
Uber 发言人周四表示,谷歌结果中出现的包含乘车数据的链接也曾在社交媒体网站上共享,因此被谷歌缓存。
谷歌在其搜索结果中包含推文。
IT安全公司F-Secure首席研究官Mikko Hypponen此前曾呼吁关注此事在推特上,附有他在 Google 上找到的 Uber 链接和地图的图片。
Uber 首席信息安全官约翰·弗林 (John Flynn) 回应称,这些链接是用户故意共享的。
但即使这些链接可能是故意在网上共享的,用户可能并不知道它们会在源代码中包含敏感数据,或者任何人都可以通过谷歌找到它们。
这些披露可能会在一些 Uber 用户中引发新的隐私担忧。一些用户可能决定停止使用共享预计到达时间功能,而收到链接的其他用户现在可能选择不将其发布到网上。
优步此前曾因其数据政策以及公司员工对个人乘客行程数据的访问级别而面临争议。
去年年底,优步聘请了华盛顿特区的一家律师事务所来审查其数据政策,此前人们对所谓的“上帝视图”工具引起了关注,该工具允许员工查看乘客日志和行程历史。
但这一次,就用户在线共享的乘车链接而言,可能是 Uber 客户发现自己必须执行隐私检查。
(更正:该报道的早期版本错误地指出了对海波宁的推文做出回应的 Uber 官员;他是 Uber 首席信息安全官约翰·弗林。)