【本報訊】全港首個單車共享自助租借系統gobee.bike,出現嚴重保安漏洞;用戶下載手機應用程式提供信用卡號碼等個人資料時,傳送及儲存均未經加密處理,有外洩風險。gobee.bike承認漏洞,450名用戶受影響,已即時刪除信用卡資料,以及更新應用程式堵塞漏洞,經調查有關資料未有外洩。惟揭露有關漏洞的博客建議「中招」用戶應「Cut卡」自保。
記者:周婷 蔡朗清
資深手機程式員、博客Gary對本報指,他分別拆解了gobee.bike手機租車應用程式的新(V0.1.0)舊(V0.0.9)兩個版本,發現兩者的保安程度極不理想,程式的源代碼(source code)「任人睇」,具相關知識的人幾乎可按照來編寫出一模一樣的程式,因此進一步了解傳送資料的情況。他發現,gobee.bike把用戶信用卡資料包括號碼、保安編碼及到期日,以未經加密方式傳送至gobee.bike伺服器,而伺服器同樣未經加密儲存資料,讓黑客輕易盜取用戶信用卡等敏感資料犯案。
gobee.bike發言人回覆本報查詢表示,單車共享系統上周三(19日)下午啟動後,發現手機租車應用程式(V0.0.9)存在保安問題,翌晚(20日)即修復漏洞推出新版本(V0.1.0),並採取保安嚴謹的「Stripe payment getaway」網付系統,確保付款安全,而伺服器亦不再存放用戶的信用卡資料。事件中有450名用戶受影響,已即時刪除其信用卡資料,經檢查未有資料外洩。
發言人強調,如有任何相關問題發生,gobee.bike會負全責,用戶要求退款可以聯絡mailto:[email protected] 。
專家促「Cut卡」自保
Gary確認gobee.bike新版應用程式已堵塞漏洞,惟受影響用戶的資料可能已被人盜取及複製,「黑客可能唔係即時用,但一年半載後先拎嚟用,到時根本難以追究」,他建議「中招」用戶最安全的做法是取消有關信用卡。
資訊科技商會榮譽會長方保僑亦表示,gobee.bike以未經加密的方式傳送用戶信用卡資料,犯了極低級的錯誤,「情況好似人喺一條透明嘅隧道行路,喺出面一眼睇哂,黑客要伸手入server(伺服器),就會變得好容易。」
台灣共享單車Ubike則採用類似本港八達通的悠遊卡付費,卡主只要登記成Ubike用戶,按需要增值悠遊卡金額租借單車,不用擔心信用卡資料被盜;內地的共享單車摩拜等,則採用微信/支付寶支付費,但需綑綁信用卡。