信用卡資料無加密 租單車App急補鑊
【明報專訊】近日有公司推出智能租用單車服務GoBee.Bike,其服務模式及運作備受關注,有程式編寫人員昨在網上揭發,用作租車及付款的手機應用程式(App)存在保安漏洞,租用單車者的信用卡資料未經加密,或有外泄風險。
推出4日 千架單車泊沙田大埔屯門
GoBee.Bike於上周四(20日)起推出,旗下有千架單車泊在沙田、大埔及屯門供租用,租金為每半小時5元,惟服務推出4日問題多多,如有人付了按金後,發現單車不能解鎖,無法使用等(見另稿),至昨日更被發現保安漏洞。
任職程式編寫員的Gary昨日在其網誌上指出,在分析GoBee.Bike Android V0.0.9 APK應用程式後,發現存在保安漏洞。Gary向本報稱,見該租單車服務近日在網上有很多討論,遂有興趣拆解其運作,未料發現程式的原始碼(source code)並無做好基本保安措施,拆解時可輕易查看到使用該軟件的用戶資料。
Gary發現,該程式會將用戶的信用卡資料以未加密方式(http)傳送至其伺服器,並以可解密或未加密方式儲存於伺服器內,只要黑客或具相關知識的人花時間破解,便可取得用戶的信用卡號碼、保安編碼及到期日等資料。他指出,該公司根本無需要儲存客戶的信用卡資料,形容是犯了「非常基本的低級錯誤」。
GoBee.Bike:已推加密新版本 不儲用戶資料
GoBee.Bike昨晚回應稱,就傳媒提及的應用程式保安漏洞,已檢查系統,並指出於上周四(20日)晚曾推出修正版本V0.1.0,該版本程式以加密方式傳輸資料,並使用Stripe payment gateway收款,亦不會儲存用戶信用卡資料,呼籲用戶使用新版本程式。據了解,公司早前確認有450名用戶受保安問題影響,並已刪除已儲存的資料。
確認450用戶受影響
雖然GoBee.Bike已推出新版本應用程式,但Gary發現用戶仍有潛在風險,一是無人能確定資料有否被盜用,二是未見該公司提醒用戶更新程式。他建議用戶若有懷疑,可取消用作登記的信用卡,以保安全。
專家:問題曝光吸黑客 風險增
香港資訊科技商會榮譽會長方保僑稱,如程式無加密用戶資訊,黑客有可能截取個人資料,問題曝光後風險會增加。資訊保安專家賴灼東亦說,用戶資料傳輸及儲存時需要加密是業界共識,開發商不應犯基本錯誤,但他認為用戶毋須即時取消已登記的信用卡,可觀察有否可疑交易才再作決定。