Gobee.Bike 極嚴重保安漏洞!用戶信用卡資料恐外泄

7 回覆
1 Like 0 Dislike
2017-04-22 12:58:31
Source: http://blog.gaplotech.com/gobee-bike-credit-card-risk/

保安漏洞

詳細分析 Gobee.Bike Android V0.0.9 APK Decompile 後的檔案,有以下發現:

信用卡資料(包括信用卡號碼、CVV、到期日)以沒有加密的方式(http)被傳送到 Gobee.Bike 伺服器 (V0.1.0 版本已移除)信用卡資料(包括信用卡號碼、CVV、到期日)以可解密或未加密方式儲存於 Gobee.Bike 伺服器所有資料(例如信用卡資料、用戶密碼等等...)均使用沒有加密的方式(http) 傳送

以上已經嚴重違反了 PCI (Payment Card Industry Data Security Standard)。

嚴重漏洞:

每當用戶點擊自己的「用戶資料」時 ,用戶的信用卡資料都會由 Gobee.Bike 伺服器經過沒有加密的方式(http) 傳送到 Android 手機上。


受害者可能存在的風險

黑客攔截網絡傳送資料,所有信用卡資料都會直接被讀取。例如透過:使用不知名公共 WiFi、黑客設陷阱假扮知名公共 WiFi、已感染木馬程式嘅 Android 手機

Gobee.Bike 伺服器以可解密或未經加密方式儲存信用卡資料,一旦伺服器被駭,將會漏泄所有用戶信用卡資料。

資料庫操作員及其他開發人員或有存取權限,只要心存一念之惡下載所有用戶信用卡資料,所有信用卡資料均有可能隨時被盜用。例如 三個月後?半年後?一年後?兩年後?
2017-04-22 13:02:02
2017-04-22 13:05:08
Goal
2017-04-22 14:21:59
2017-04-23 10:51:40
2017-04-23 11:02:48
HTTPS 好貴咩
吹水台自選台熱 門最 新手機台時事台政事台體育台娛樂台動漫台Apps台遊戲台影視台講故台健康台感情台潮流台上班台財經台飲食台旅遊台學術台校園台汽車台音樂台創意台硬件台攝影台玩具台寵物台軟件台活動台電訊台直播台站務台成人台黑 洞