智慧停车频爆漏洞，问题出在哪里？

近日，媒体爆出，智慧停车已经成为个人信息泄露的重灾区。“寻车”黑产异常猖獗，可以掌握车辆在各个停车场的停车信息，包括停车时常，费用等信息，都了如指掌。

这一问题早在几年前就已经暴露。我们都有收到过帮人寻车，跟踪车辆的短信，大多数时候都会被认为诈骗短信。但是没想到，这一黑色产业链有它自己的运作模式。

那么，为什么我们只是停个车，信息就被泄露了呢？而且还能准确到各个停车场的停车细节呢？甚至有些时候还可以准确到形成轨迹和路线呢？我们从智慧停车的系统构成和“寻车”黑产的模式简单了解一下。

智慧停车指的是将智慧停车系统通过网络技术连接、集成到一个共享、互联的管理平台中，以提升停车效率和服务质量。这种系统通常包括以下几个关键组成部分。

传感器与硬件设备：这些设备用于监测停车场内的停车位状态。常见的传感器包括地磁传感器、超声波传感器和视频监控技术等。

无线通信技术：通过Wi-Fi、LoRa（远距离低功耗网络）、NB-IoT（窄带物联网）等通信技术将停车位的实时信息上传到云平台。这些技术可以实现低功耗、广覆盖、实时更新等功能。

数据平台与大数据分析：所有停车信息将汇总到云端服务器，通过数据分析来预测停车需求、优化停车场的使用、进行车辆引导等。

用户端应用：车主可以通过手机APP、车载系统等实时查看空闲停车位、预定停车位、支付停车费用等。还可以通过APP导航到最近的空闲停车位置。

智能支付与收费系统：智慧停车系统通常与电子支付系统（如支付宝、微信支付等）结合，提供无感支付功能，实现自动计费、实时缴费等。

云平台与集成管理：一个集中的管理平台可以监控多个停车场的运营状态，包括车位使用情况、收费管理、车辆流动等。这有助于提高整体管理效率并减少人工干预。

从智慧停车的构成我们可以看出，其最大的特点是云端管理，与以往的停车系统不同，每个停车场都是独立的系统，所有停车数据存储在物业的本地电脑。

而黑产想要想一家一家的去搜集这些数据显然是有难度的。但是如果成百上千的停车场，使用一套停车管理软件，那么这件事情就变得容易的多了。

智慧停车就是这样的工作模式，所有停车数据在云端进行统一管理，其平台可能管理数以万计的停车场。这些停车信息都源源不断的汇聚给智慧停车平台。

在当前的信息时代环境下，这些停车数据其实就是资产，这些资产可以用于开发更多的产品，也可以被更多的应用调用，智慧停车平台都会提供API接口功能，供自有平台和第三方平台调用。

如果对API管理不善，安全等级了解不够，就可能造成信息的泄露。而“寻车”黑产正是利用这一点，利用API缺陷，对API在认证、授权、数据暴露、输入检查、安全配置等方面是否存在可被攻击者恶意利用的安全漏洞不可知，企业很难通过有限的人力来对API资产进行缺陷检测。

很多时候，智慧停车企业过于关注业务，而忽略技术。而对API发起的攻击流量无异于正常的业务请求，现有安全手段难以识别此类攻击风险，更难以追溯供给来源，容易造成大规模数据泄漏。

所以，黑产是很容易拿到这些停车数据的。那么有时候这些“寻车”黑产为什么可以拿到车辆的行驶轨迹呢？

其实这也非常简单。针对出得起钱的客户，黑产公司利用智慧停车系统的漏洞找到车辆后。会派人前往停车所在地，暗中安装GPS定位系统。

而这些“寻车”公司，会在互联网上搭建一个GPS定位跟踪系统的平台，这样的平台从技术到成本上都是极低的。从而获取车辆的具体行驶轨迹信息。

通过新闻的曝光，未来智慧停车平台也会更加注重平台的安全性和个人信息的保护力度。在各个层面，以更完善的方案适应市场环境的变化。黑产在信息获取上也会增加难度，尽可能将这一社会问题杜绝。