信用卡資料無加密 租單車App急補鑊

[2017.04.23] 發表
巿民李先生(左)昨與友人原欲試用租單車服務,下載GoBee.Bike的應用程式後,發現要先繳付399元按金才能租車,即時卻步,最終沒有租車。(劉焌陶攝)
兩輛GoBee.Bike單車疑被人拋進城門河,警方列作刑事疰a案處理。

【明報專訊】近日有公司推出智能租用單車服務GoBee.Bike,其服務模式及運作備受關注,有程式編寫人員昨在網上揭發,用作租車及付款的手機應用程式(App)存在保安漏洞,租用單車者的信用卡資料未經加密,或有外泄風險。

推出4日 千架單車泊沙田大埔屯門

GoBee.Bike於上周四(20日)起推出,旗下有千架單車泊在沙田、大埔及屯門供租用,租金為每半小時5元,惟服務推出4日問題多多,如有人付了按金後,發現單車不能解鎖,無法使用等(見另稿),至昨日更被發現保安漏洞。

任職程式編寫員的Gary昨日在其網誌上指出,在分析GoBee.Bike Android V0.0.9 APK應用程式後,發現存在保安漏洞。Gary向本報稱,見該租單車服務近日在網上有很多討論,遂有興趣拆解其運作,未料發現程式的原始碼(source code)並無做好基本保安措施,拆解時可輕易查看到使用該軟件的用戶資料。

Gary發現,該程式會將用戶的信用卡資料以未加密方式(http)傳送至其伺服器,並以可解密或未加密方式儲存於伺服器內,只要黑客或具相關知識的人花時間破解,便可取得用戶的信用卡號碼、保安編碼及到期日等資料。他指出,該公司根本無需要儲存客戶的信用卡資料,形容是犯了「非常基本的低級錯誤」。

GoBee.Bike:已推加密新版本 不儲用戶資料

GoBee.Bike昨晚回應稱,就傳媒提及的應用程式保安漏洞,已檢查系統,並指出於上周四(20日)晚曾推出修正版本V0.1.0,該版本程式以加密方式傳輸資料,並使用Stripe payment gateway收款,亦不會儲存用戶信用卡資料,呼籲用戶使用新版本程式。據了解,公司早前確認有450名用戶受保安問題影響,並已刪除已儲存的資料。

確認450用戶受影響

雖然GoBee.Bike已推出新版本應用程式,但Gary發現用戶仍有潛在風險,一是無人能確定資料有否被盜用,二是未見該公司提醒用戶更新程式。他建議用戶若有懷疑,可取消用作登記的信用卡,以保安全。

專家:問題曝光吸黑客 風險增

香港資訊科技商會榮譽會長方保僑稱,如程式無加密用戶資訊,黑客有可能截取個人資料,問題曝光後風險會增加。資訊保安專家賴灼東亦說,用戶資料傳輸及儲存時需要加密是業界共識,開發商不應犯基本錯誤,但他認為用戶毋須即時取消已登記的信用卡,可觀察有否可疑交易才再作決定。

更多港聞
「已進司法程序」 梁打消特赦考慮 指重開公民廣場非適當時候
【明報專訊】民主黨主席胡志偉早前提出「特赦論」,以達到大和解,引來各方批評,胡亦收回言論。特首梁振英昨早出席電台節目表示,曾想過特赦,但拒絕... 詳情
【明報專訊】內地霧霾問題嚴重,不少港人認為,每當吹北風時,香港空氣污染亦變得嚴重。特首梁振英早前率團考察粵港澳大灣區,昨在電台節目指出,南風... 詳情
【明報專訊】急性肝衰竭女病人鄧桂思周四第二度換肝,現於瑪麗醫院深切治療部留醫,情G危殆。港大外科學系肝臟移植科臨H副教授吳國際昨午巡房後表示... 詳情
回歸後首次 非華裔警升見習督察
【明報專訊】在昨日警察結業禮上,有251名學警及20名見習督察完成訓練,包括回歸以來首名非華裔警員晉升警務督察的呂文迪(Abdul Fais... 詳情
【明報專訊】政府檔案處於2016/17年度接獲30宗有關政府部門遺失或在未經授權下銷珙F府檔案的報告,警務處佔其中12宗遺失個案及1宗未經授... 詳情

明報網站 · 版權所有 · 不得轉載
Copyright © 2016 mingpaocanada.com All rights reserved.
Ming Pao Daily News A wholly owned subsidiary of Ming Pao Enterprise Corporation Ltd.
Vancouver Chinese Newspaper

5368 Parkwood Place, Richmond B.C. V6V 2N1 | Tel.: (604) 231-8998 | Fax: (604) 231-9881/9884 | Advertising Hotline Tel.: (604) 231-8992