北京一卡通网站泄露信息 称用户利益无从说起

　　据10日《法制晚报》相关报道，有网民向其反映，北京市政交通一卡通公司网站泄露用户个人信息。只要登录该网站，输入一卡通卡号，无需其他任何验证手续即可查询该卡用户的出行、消费等个人信息，而且记录详尽，一览无遗。消息传出后，众多网民在调侃至于更多的是对个人信息安全表示担忧，一卡通公司随后则回应称，责任在用户。

　　北京市政交通一卡通自2006年5月正式启用以来，截至目前，已公开发行超过4500万张。交通出行方面，已经对公交、轨道交通、出租车等领域进行无缝覆盖，大部分的零售、餐饮、百货连锁企业都已经设置一卡通消费点，甚至连医院挂号、公园进园都可以刷卡登记，可以说一卡通的服务已经渗透到北京市民生活的方方面面，并组建起一张覆盖甚广的消费网络。可正就是这张给北京市民日常生活带来无数便捷的小卡片，只要你在北京一卡通官方网站的查询栏上输入一卡通卡号，就会显示最近20条用卡信息，储值消费、乘坐的公交车次、上下车地点都一一显示，十分详尽。这让为数众多的用户忧心忡忡，不仅仅是自己个人的隐私无法保障，甚至是身边的家人、亲戚、朋友随时都会涉入其中，牵连甚广。

　　此事被报道后，一卡通公司的网站访问量急剧增加，一度造成查询功能无法使用，甚至出现网站瘫痪无法登陆的情况。对此，一卡通公司相关负责人介绍，因为访问量徒增，导致网站很“卡”，虽然社会上有些质疑的声音，但这些都很正常，我们不会因此而关闭查询功能。面对网友关于“查询功能”泄露用户乘车和消费信息方面的疑虑，一卡通公司表示，该公司提供查询功能已将近有10年的历史，“它是我公司为持卡用户提供的一项重要的服务功能，是在’服务手册’中承诺的服务项目，是国内所有城市通卡公司的必备功能。”

　　其后，一卡通公司的一名客服人员在回应相关疑问时甚至表示，“这是为使用者提供方便，至于如果卡号被他人记下并查询后造成的隐私泄露，则是用户自己的事情”。

　　但根据笔者查询结果表明，并非“国内所有城市通卡公司都提供该查询功能”，以广州的“羊城通”、深圳的“深圳通”、上海的“上海公共交通卡”为例，据以上三者的官方网站的信息显示，均未开通网络在线查询“乘车及消费”明细查询功能，仅“深圳通”和“上海公共交通卡”提供网络在线查询“卡内余额”功能。

　　然而此次并非个案。2010年年底，就被某信息技术公司的工程师发现其充值系统存在重大漏洞，一卡通芯片内的系统密码被破解后，卡上金额可随意改动，该工程师利用此漏洞多次进行恶意充值，并从中获利。直至今年3月，一卡通公司职员发现某些一卡通存储额度较高，资金流动异常，随即报警处理才被揭发。

　　面对这一连串的疑问，一卡通公司在随后发布的声明当中表示，一卡通是非实名制卡片，无个人信息，所以不存在个人信息泄露问题，网站也只有卡用户的以往出行记录，请持卡用户妥善保管自己的卡片。至于有网友提出增加查询密码的建议，一卡通公司表示要权衡设置密码的可行性和可能产生的负面作用后，做出全面的评估之后再做决定。但据已拥有超过5年专业网站建设经验的中国诺网介绍，为了防止被批量的恶意套取用户信息，最简单易行的方法就是设置验证码，或者与手机号码绑定，这在技术上都容易实现。如果要设置密码，在该卡已经广泛通用的情况下很难实现，因为密码初始化阶段就很容易被恶意盗用。

　　至笔者发稿时为止，访问北京一卡通的官方网站仍然非常困难，部分功能区域无法正常显示。一个企业的官方网站长时间拥堵，甚至是瘫痪不仅有损企业的社会形象，其能力更会备受质疑，在一定程度上闭塞了与公众互动交流的渠道，丧失话语权之余更会置身舆论的非议当中，甚为被动。