新加坡共享单车Obike数据泄露，包括姓名、地理位置等个人信息

发布日期：2017-12-25

如果你现在正在新加坡、悉尼或伦敦的街道上悠闲地骑着“小黄车”，那么你的某些个人信息可能已经被暴露了。

今年1月中旬，新加坡本土共享单车品牌oBike开始在新加坡上线，并在过去的几个月里，将其业务扩展到了亚太、欧洲和英国的几个城市。

据媒体报道，oBike是由一名新加坡人和三名中国合伙人合资创办的新公司，创始团队中包括东南亚最大的投资基金淡马锡控股的投资人、东南亚最大的打车软件GRAB的高管以及UBER的多位核心成员。

来自巴伐利亚广播电台(Bavarian Radio)的最新报道，BR Data和BR Recherche的记者能够通过互联网访问到Obike用户的个人数据，包括姓名、联系方式、个人登记照片和地理位置。这些数据既没有加密，也没有受到其他保护，其中甚至包括Obike至少两个星期的确切位置数据。

巴伐利亚广播电台进行了一项骑行测试证实，产生的位置数据能够在线访问，并且没有任何保护。

巴伐利亚州数据保护监督局(LandesamtfürDatenschutzaufsicht)确认了巴伐利亚广播电台的测试结果，并表示Obike的数据泄露行为违反了《数据保护法》。

来自德国用户的姓名、来自瑞士用户的手机号码、来自英国用户的电子邮箱地址、来自马来西亚用户的个人登记照片……可以说，全世界的Obike用户都受到此次泄露事件的影响。

事件的开始源于Obike为用户提供了一个在社交网络上分享邀请码和完成游戏的机会。但因为一个漏洞，导致他们的社交网络好友可以直接访问他们的个人数据。

Obike的一位发言人解释说：“安全漏洞源于我们的app编程接口(API，Application Programming Interface)中存在一个缺陷，它允许用户将自己的社交网络好友连接到我们的平台上来。该API现在已被禁用，并在其顶部添加了额外的安全层。 ”

该发言人强调，泄露事件只会影响一小部分用户，所暴露的个人数据仅限于用户名、电子邮箱地址和手机号码，Obike app并不存储信用卡信息或用户密码。

数据保护官员Thomas Kranig认为，Obike还违反了关于信息透明度的相关规定。在用户下载app时，Obike并没有说明它会收集哪些用户数据，以及收集数据的目的。

有证据表明Obike创建了移动配置文件，并向关联公司提供这些数据，而这些都是在用户不知情的情况下进行的。