通用汽车主个人信息遭到泄露，原因竟是？

近日，通用汽车表示，在今年的4月11日至29日两星期内检测到了恶意登录活动，经过调查，发现黑客在不知情的情况下将客户奖励积分兑换为礼品卡。

针对本次事件，通用汽车方面表示，他们将通过邮件的方式通知客服，让客服告知受到影响的客户。同时，他们将会对受到本次侵害事件影响的客户恢复奖励积分。

经过深入调查后发现，这样的违规行为并不是黑客入侵通用汽车的结果，而是被其平台的客户的一波撞库攻击波导致的。

什么是撞库？

撞库是指黑客通过收集网上已泄露的用户和密码信息，生成对应的字典表，并尝试批量登陆其他网站后，得到一系列可以登录的用户。经后续的调查，通用汽车表示目前没有证据表明登录信息是从通用汽车本身获得的，“未经授权的用户获得了之前在其他非通用汽车网站上被泄露的客户登录凭证的访问权限，然后在客户的通用汽车账户上重复使用这些凭证。”

对此通用汽车要求受影响的用户在再次登录他们的帐户之前重置他们的密码。

个人信息泄露

当黑客成功入侵用户的通用汽车帐户后，他们可以访问存储在该网站上的某些信息。此信息包括以下个人详细信息：

名字和姓氏，

个人电子邮件地址，

个人地址，

与帐户绑定的注册家庭成员的用户名和电话号码，

最后已知和保存的最喜欢的位置信息，

当前订阅的OnStar套餐（如果适用），

家庭成员的头像和照片（如果已上传），

个人资料图片，

搜索和目的地信息。

通过入侵汽车账号的方式，黑客可获得车主包括但不限于服务历史、紧急联系人、里程历史、服务历史、Wi-Fi热点设置（包括密码）等多个信息。但庆幸的是，信用卡信息或银行帐户信息，出生日期、社会安全号码、驾驶执照号码等这些信息还没有泄露。

通用汽车建议受影响的用户向银行索取信用报告和重置密码，或者是进行必要对账户进行冻结。

可惜的是，通用汽车的在线站点不支持双重身份验证，所以其网站无法阻止撞库攻击。不过还有一种做法是客户可以给所有的支付动作添加PIN码验证环节。至于受影响的客户数量，通用汽车只向加州总检察长办公室提交了一份通知样本，因此我们只知道该州受影响的客户数量，也就是略低于5,000家。