自駕已經(jīng)成為了很多朋友境外旅行的首選，以往大家訂車會選擇官網(wǎng)或者OTA網(wǎng)站，而在專業(yè)租車平臺做大以后，又不少朋友會考慮選擇服務(wù)相對完善的租車平臺。去哪浪群的群友BrokeXX同學(xué)最近打算去境外自駕，但在選擇網(wǎng)站和租車公司對比優(yōu)惠的時候，卻發(fā)現(xiàn)了一件非?？膳碌氖虑椋核ㄟ^廣告鏈接看到了別人的租車訂單和個人信息。

個人信息通過廣告短信群發(fā)了

BrokenXX同學(xué)在2月24日下午收到了一條群發(fā)的廣告短信，提示他有一張50元的海外租車優(yōu)惠券，正好BrokenXX同學(xué)有境外租車的剛需，于是點擊鏈接進(jìn)去看了一眼。這一看可不得了，連惠租車賬號都沒注冊過的他，竟然看到了別人的租車訂單。

咋一看這個網(wǎng)站還同時挺正常的，是東航和惠租車的合作網(wǎng)站，「東方萬里行」會員可以領(lǐng)50元新人租車券（廣告短信里發(fā)的），每消費1元還可以返1點積分。但這里看不到登陸界面，右上角只有一個「訂單」，按理說點「訂單」進(jìn)去應(yīng)該被要求登陸才對，但BrokenXX同學(xué)點進(jìn)去之后卻看到了好幾個人的訂單詳情。

訂單列表里有四個人的訂單信息，兩單確認(rèn)兩單取消，分別是夏威夷、奧克蘭、黃金海岸和凱恩斯的訂單，駕駛員名字全部都不一樣。

點開其中一個帶有「惠駕天下補充保險」的訂單，可以清楚地看到訂單編號、提車憑證號、取換車時間和地點等信息，「駕駛員信息」一欄可以看到姓名、出生日期、手機號碼、郵箱和航班號，東航會員號一并展示，最可怕的還是保險單的詳情，里面連身份證號都一起顯示了。

再點開另外一個確認(rèn)訂單，依舊可以看到詳細(xì)的個人信息。因為他沒有買補充保險，所以看到?jīng)]有顯示保險詳情，算是「保住了」身份證號的信息。而取消的訂單也是類似的情況，所有個人信息泄漏得一干二凈。

起初我以為這只是數(shù)據(jù)BUG，有可能是我注冊過惠租車賬號的原因，但我發(fā)給另外一些沒有注冊過惠租車會員的朋友，他們依舊可以正常打開鏈接并且看到這些個人信息；不同的蘋果和安卓設(shè)備也能正常打開；我又嘗試將Chrome，F(xiàn)irefox和Safari三款瀏覽器的緩存和Cookies全部清空，依舊可以正常打開鏈接并且讀取訂單里的個人信息。

從2月24日下午17:00開始，到發(fā)文的2月27日上午9:00截止，整整過去了64小時，這個鏈接一直能正常打開，也就是說這個BUG一直都在，而且當(dāng)成優(yōu)惠券的領(lǐng)取鏈接不知道被群發(fā)給多少人了，細(xì)思極恐?。∠嚓P(guān)情況我已經(jīng)錄屏保存，但實在懶得去模糊視頻中的個人信息，這里就不發(fā)了。

最近酒店集團(tuán)或航空公司出現(xiàn)個人信息泄漏的問題還真不少，但大多數(shù)都是不法分子的惡意入侵所導(dǎo)致的，這次惠租車直接主動將個人信息泄漏得一干二凈，情況還真有點罕見。目前已知的案例就這么一個，不知道其他人收到類似的短信，是否存在能夠打開訂單詳情的情況。但無論如何，如此嚴(yán)重的安全隱患還是希望惠租車平臺給出一個合理的解釋并盡快修補漏洞，畢竟大家上你們家平臺是去租車的，而不是去「裸奔」的。