共享單車GoBee.Bike日前大舉攻港,但有資深手機程式員揭發單車租借程式未經加密,用戶的信用卡資料會被儲存在伺服器內,黑客可以隨時攔截入侵,竊取信用卡等個人資料!GoBee.Bike承認保安漏洞,指未有發現任何資料曾經外洩,已永久刪除相關資料,並推出修正版。
資深手機程式員Gary在網站揭發Gobee.Bike出現保安漏洞,指該程式的信用卡資料,包括信用卡號碼、CVV、到期日,以沒有加密的方式被傳送到Gobee.Bike伺服器,而資料的儲存方式亦可被解密或並未加密,所有資料的傳送過程均使用沒有加密的方式傳送。
每當用戶點擊自己的「用戶資料」時 ,用戶的信用卡資料都會由Gobee.Bike伺服器,經過沒有加密的方式傳送到Android手機上,大大增加信用卡資料落入黑客手上。
他指事態非常嚴重,黑客可以攔截網絡傳送資料,所有信用卡資料都會直接被讀取,伺服器被駭入侵,將會洩漏所有用戶信用卡資料,而資料庫操作員及其他開發人員或有存取權限,信用卡資料亦有隨時被盜用風險。
他直言如果資料被盜,根本不知道騙徒何時使用,可能「三個月後?半年後?一年後?兩年後?」他提醒現時唯一方法是「Cut 卡保平安」,由現在開始不再打開Gobee.Bike程式,否則資料又再未經加密地輸送,直至程式更新解決上述問題為止。
GoBee.Bike承認保安漏洞,指約450名用戶受影響,現時已永久刪除相關資料,未發現有任何資料曾經外洩,並已於周四推出修正版本,不會儲存用戶信用卡資料,並以新技術確保付款方式安全。發言人又指,用戶若有需要可電郵至contact@gobee.bike要求即時退款。