共享单车GoBee.Bike日前大举进入香港,但只是短短数日,已发生不少问题,除了早前曾一度连线出现问题外,资深手机程式员更再揭发,该单车租借程式未经加密,用户的信用卡资料,会被储存在伺服器,黑客可以随即拦截入侵,获得信用卡资料!GoBee.Bike向传媒承认,当中包括450名用户受影响,现时已永久删除相关资料,未发现有任何资料曾经外泄,并已于周四推出修正版本,不会储存用户信用卡资料,并以新技术确保付款方式安全。发言人又称,公众可传送电邮至
[email protected]要求即时退款,(Customers can ask for an immediate refund at
[email protected] anytime)。
「Gap捞Tech」博客由程式员Gary开设,贴出文章《Gobee.Bike 极严重保安漏洞!用户信用卡资料恐外泄》。他指出事态非常严重,因为发现该程式信用卡资料,包括信用卡号码、CVV、到期日,以没有加密的方式,被传送到Gobee.Bike 伺服器,用可解密或未加密方式储存,所有资料传送过程亦没有加密。每当用户点击自己的「用户资料」时 ,用户的信用卡资料都会由 Gobee.Bike 伺服器经过没有加密的方式(http) 传送到 Android 手机上,坦言会增加信用卡资料落入黑客手机会。
Gary指出,共有三个风险,黑客可以拦截网络传送资料,所有信用卡资料都会直接被读取;伺服器以可解密或未经加密方式储存信用卡资料,一旦伺服器被骇,将会漏泄所有用户信用卡资料;资料库操作员及其他开发人员或有存取权限,只要心存一念之恶下载所有用户信用卡资料,所有信用卡资料均有可能随时被盗用。
Gary提醒现时唯一方法是「Cut 卡保平安」,由现在开始不再打开 Gobee.Bike App,否则资料又再输送,直至有更新解决上述问题为止,如果正在等待退款,就在退款后再 取消涉事信用卡。因为如资料被盗,根本不知道骗徒何时使用,他直言可能「三个月后?半年后?一年后?两年后?」
最新回应