共享單車GoBee.Bike日前大舉進入香港,但只是短短數日,已發生不少問題,除了早前曾一度連線出現問題外,資深手機程式員更再揭發,該單車租借程式未經加密,用戶的信用卡資料,會被儲存在伺服器,黑客可以隨即攔截入侵,獲得信用卡資料!GoBee.Bike向傳媒承認,當中包括450名用戶受影響,現時已永久刪除相關資料,未發現有任何資料曾經外洩,並已於周四推出修正版本,不會儲存用戶信用卡資料,並以新技術確保付款方式安全。發言人又稱,公眾可傳送電郵至
[email protected]要求即時退款,(Customers can ask for an immediate refund at
[email protected] anytime)。
「Gap撈Tech」博客由程式員Gary開設,貼出文章《Gobee.Bike 極嚴重保安漏洞!用戶信用卡資料恐外泄》。他指出事態非常嚴重,因為發現該程式信用卡資料,包括信用卡號碼、CVV、到期日,以沒有加密的方式,被傳送到Gobee.Bike 伺服器,用可解密或未加密方式儲存,所有資料傳送過程亦沒有加密。每當用戶點擊自己的「用戶資料」時 ,用戶的信用卡資料都會由 Gobee.Bike 伺服器經過沒有加密的方式(http) 傳送到 Android 手機上,坦言會增加信用卡資料落入黑客手機會。
Gary指出,共有三個風險,黑客可以攔截網絡傳送資料,所有信用卡資料都會直接被讀取;伺服器以可解密或未經加密方式儲存信用卡資料,一旦伺服器被駭,將會漏泄所有用戶信用卡資料;資料庫操作員及其他開發人員或有存取權限,只要心存一念之惡下載所有用戶信用卡資料,所有信用卡資料均有可能隨時被盜用。
Gary提醒現時唯一方法是「Cut 卡保平安」,由現在開始不再打開 Gobee.Bike App,否則資料又再輸送,直至有更新解決上述問題為止,如果正在等待退款,就在退款後再 取消涉事信用卡。因為如資料被盜,根本不知道騙徒何時使用,他直言可能「三個月後?半年後?一年後?兩年後?」
最新回應