YouBike App密碼更新回傳機制出包，用手機號碼就能竄改他人密碼

臺灣資安漏洞通報平臺HITCON ZeroDay於5月27日揭露，公共自行車租用服務YouBike App要求修改密碼的回傳機制未加密，手機號碼與密碼的數值是明文呈現，而且任何人可以輸入手機號碼，來更改用戶的密碼，並取得該用戶在YouBike的資料。YouBike表示，他們已經在近日完成了修補，「目前沒有任何YouBike用戶受到影響。」

大多數網站的用戶送出修改密碼的要求後，網站同時會回傳加密的資料，重複驗證用戶的身分。但根據ZeroDay團隊分析YouBike App的封包發現，YouBike App提供修改密碼功能的程式碼，用戶的手機號碼和帳號沒有轉換成亂數形式的密文，而是直接暴露用戶手機號碼和密碼來傳遞訊息。

此外，任何人可以在未經用戶本人授權的情況，在URL網址修改密碼變數的數值，來更改用戶的密碼。任何人能利用這項驗證機制的疏失，直接修改不同手機號碼的密碼，同時取得用戶個資，包括真實姓名、電子信箱、悠遊卡卡號，以及騎乘紀錄，甚至如果是使用聯名卡綁定的用戶，可能造成用戶的金融資料外洩。

任何人可以輸入不同的手機號碼，來修改該用戶的密碼。圖片來源：HITCON ZeroDay

ZeroDay團隊於3月27日提報了這項疏失，並在4月6日通報YouBike。YouBike收到漏洞通報後，立即測試相關驗證機制，並在5月25日修補完成，同時發布「YouBike 微笑單車2.3.12」的版本更新。

過去，統一超商的ibon售票系統在2015年也有相同的漏洞情況，駭客利用修改網頁程式碼的數值，來更改票價的金額，用1元的金額來購買多張餐券、遊樂園門票。