Gobee.bike證實app有保安問題 程式員:資料或外泄 Cut卡保平安
近日有公司在本港推出首個智能單車共享服務,引起社會熱議。不過提供服務的手機應用程式「Gobee.bike」卻被指有嚴重保安漏洞,用戶輸入的信用卡資料以未經加密的方式傳送及儲存於程式的伺服器中,可輕易遭黑客攔截及讀取,用戶猶如遺失信用卡,戶口隨時被盜用。
「Gobee.bike」回覆《香港01》查詢證實,曾在初建版本發現保安問題,約450名用戶受影響,但公司已在周四(20日)晚作修訂,經檢查後確定沒有資料外洩。公司已經永久刪除曾收集的用戶資料,現時的版本亦不會儲存用戶的信用卡資料,而受影響的用戶可要求即時退款。
由程式員Gary開設的Facebook專頁「Gap撈Tech」今日(22日)貼出一篇名為「Gobee.Bike 極嚴重保安漏洞!用戶信用卡資料恐外泄」的文章,內容指作者在詳細分析此手機APP Android V0.0.9 APK的檔案後,發現用戶的信用卡資料以未加密的方式傳送及到「Gobee.bike」的伺服器,並以可解密或未加密的方式儲存,如果有黑客攔截網絡傳送資料,就會直接讀取所有信用卡資料;而如伺服器被駭,資料亦會外洩,引來盜用風險。
文章指,所有使用該App V0.0.9 版本登記的用戶都有極大機會成為受害者,建議用戶「Cut卡保平安」,防止信用卡戶口被盜用。
方保僑:Gobee.bike犯低級錯誤
香港資訊科技商會榮譽會長方保僑指,如文章說法屬實,「Gobee.bike」是犯下低級錯誤。他解釋,用戶的信用卡資料以未加密方式儲存,就如一個人沒有穿衣服;傳送時沒有加密,則好像在一條透明隧道中行走;故情況似一個人「光脫脫行過」,資料就可以輕易被人攔截。
一個大學嘅FYP(Final Year Project)都不如,讀Computer Science(計算機科學)嘅學生都會好過佢。
文章作者:學生都不如
從事手機應用程式開發的文章作者Gary向《香港01》表示,有見該APP最近大受歡迎,故嘗試拆解,拆解後「哇咗一聲」,批評該程式資訊安全程度「垃圾」,猶如時光倒流至互聯網剛出現的時期,「一個大學嘅FYP(Final Year Project)都不如,讀Computer Science(計算機科學)嘅學生都會好過佢。」
Gary直言程式有很多漏洞,除了用戶的信用卡資料可輕易被人盜用,他亦擔心有權限操作伺服器的人,會將儲存的資料複制,待半年或一年後再盜用,到時用戶就難以追溯,建議用戶Cut卡。
Gobee.bike:已刪450用戶資料
Gobee.bike城巿策劃經理李淑澄回覆查詢時證實,公司曾在初建版本發現保安問題,影響約450名用戶,公司已在周四晚發布修正版本,亦進行過系統檢查,確認沒有資料外洩。Gobee.bike又指,現時的APP版本不再儲存用戶信用卡資料,而任何曾經收集過的用戶資料亦已永久刪除,現時的付款程序安全,有信心登記了的用戶不會遇到任何信用卡問題,如有任何問題,Gobee.bike會負全責;已繳付按金的用戶,亦可以向Gobee.bike申請即時退款。
Gary就認為,雖然Gobee.bike聲稱沒有資料外洩,但用戶要自行判斷是否相信,亦難以確保內部人員沒有接觸伺服器中的資料。他指情況就如跌了家中的鎖匙,「你會配過條鎖匙,定換過個鎖?」建議用戶將信用卡報失,以策安全。