印尼明星创企Go-Jek被爆存在重大安全漏洞

  1. 云栖社区>
  2. 博客>
  3. 正文

印尼明星创企Go-Jek被爆存在重大安全漏洞

boxti 2017-07-05 10:39:00 浏览868
展开阅读全文

印度网络安全公司Fallible宣称Go-Jek应用存在几个重要的安全漏洞,后者是印尼估值最高的创企,并且是Uber以及Grab在东南亚的竞争对手。但Go-Jek宣称,这些问题已被修复。

Fallible在一则博客上公布了这个发现。这家公司专门去侦察应用程序接口(API)终端的漏洞,科技公司设计这些接口主要就是为了与其它服务进行数据交换。如果接口不安全,那么也有可能会引发数据泄露。

Fallible表示,在Go-Jek的案例中,我们能从一个乘务历史接口中直接提取信息,包括任何一位用户乘过的任何一趟车,甚至还能得到乘坐过程中的GPS坐标。另外这家公司还表示,黑客能够利用一些薄弱点直接获得用户通过App下的订单细节,甚至还可能干扰发给用户的推送通知。

另一个有问题的API会泄露用户手机号码以及上下车地点等信息,但Fallible告诉外媒,这个漏洞已经被修复。

另外其他的漏洞是否已被修复还不得而知,当初他们发现漏洞时决定给Go-Jek几个月的时间去寻找。

Go-Jek的首席信息安全官Sheran Gunasekera则表示有异议。

他表示,当初Fallible于6月第一次联系公司后,这些数据泄露问题已经在七月末被解决。

Sheran说:“我的意思并不是说我们的应用是完美地,但对于用户的数据保护,我们绝对会认真对待。”

在信息安全领域工作了15年,他也同意像Go-Jek这样的大公司必须要重视漏洞的寻找。同时他也很感谢Fallible为他们寻找的这些漏洞。

但Sheran表示,Fallible记录这次事件的方法本可以更好一些。他说:“这篇博客里并没有详述的说明,以往都会声明哪些漏洞仍然存在,哪些已经被修复。”

同时他指出,Go-Jek也在对漏洞进行悬赏,它鼓励黑客寻找漏洞,并向Go-Jek报告以获得奖金。

实际上这已经不是第一次Go-Jek发生信息安全问题了。早在去年1月,一位印尼程序员也进行了漏洞揭露,他还表示Go-Jek的应用中还有很多漏洞。

目前Go-Jek还涉及了支付业务,那么它更要去重视信息安全问题。同时,Go-Pay能让用户购买积分,并可以留到将来使用。最近,这家创企还尝试让Go-Pay进行用户间的积分转账,并从合作方的银行里取钱。

本文转自d1net(转载)

网友评论

登录后评论
0/500
评论
boxti
+ 关注