臺灣資安漏洞通報平臺HITCON ZeroDay於5月27日揭露,公共自行車租用服務YouBike App要求修改密碼的回傳機制未加密,手機號碼與密碼的數值是明文呈現,而且任何人可以輸入手機號碼,來更改用戶的密碼,並取得該用戶在YouBike的資料。YouBike表示,他們已經在近日完成了修補,「目前沒有任何YouBike用戶受到影響。」
大多數網站的用戶送出修改密碼的要求後,網站同時會回傳加密的資料,重複驗證用戶的身分。但根據ZeroDay團隊分析YouBike App的封包發現,YouBike App提供修改密碼功能的程式碼,用戶的手機號碼和帳號沒有轉換成亂數形式的密文,而是直接暴露用戶手機號碼和密碼來傳遞訊息。
此外,任何人可以在未經用戶本人授權的情況,在URL網址修改密碼變數的數值,來更改用戶的密碼。任何人能利用這項驗證機制的疏失,直接修改不同手機號碼的密碼,同時取得用戶個資,包括真實姓名、電子信箱、悠遊卡卡號,以及騎乘紀錄,甚至如果是使用聯名卡綁定的用戶,可能造成用戶的金融資料外洩。
任何人可以輸入不同的手機號碼,來修改該用戶的密碼。圖片來源:HITCON ZeroDay
ZeroDay團隊於3月27日提報了這項疏失,並在4月6日通報YouBike。YouBike收到漏洞通報後,立即測試相關驗證機制,並在5月25日修補完成,同時發布「YouBike 微笑單車2.3.12」的版本更新。
過去,統一超商的ibon售票系統在2015年也有相同的漏洞情況,駭客利用修改網頁程式碼的數值,來更改票價的金額,用1元的金額來購買多張餐券、遊樂園門票。
熱門新聞
2024-12-02
2024-12-03
2024-11-29
2024-12-02
2024-11-30