印度网络安全公司Fallible宣称Go-Jek应用存在几个重要的安全漏洞,后者是印尼估值最高的创企,并且是Uber以及Grab在东南亚的竞争对手。但Go-Jek宣称,这些问题已被修复。
Fallible在一则博客上公布了这个发现。这家公司专门去侦察应用程序接口(API)终端的漏洞,科技公司设计这些接口主要就是为了与其它服务进行数据交换。如果接口不安全,那么也有可能会引发数据泄露。
Fallible表示,在Go-Jek的案例中,我们能从一个乘务历史接口中直接提取信息,包括任何一位用户乘过的任何一趟车,甚至还能得到乘坐过程中的GPS坐标。另外这家公司还表示,黑客能够利用一些薄弱点直接获得用户通过App下的订单细节,甚至还可能干扰发给用户的推送通知。
另一个有问题的API会泄露用户手机号码以及上下车地点等信息,但Fallible告诉外媒,这个漏洞已经被修复。
另外其他的漏洞是否已被修复还不得而知,当初他们发现漏洞时决定给Go-Jek几个月的时间去寻找。
Go-Jek的首席信息安全官Sheran Gunasekera则表示有异议。
他表示,当初Fallible于6月第一次联系公司后,这些数据泄露问题已经在七月末被解决。
Sheran说:“我的意思并不是说我们的应用是完美地,但对于用户的数据保护,我们绝对会认真对待。”
在信息安全领域工作了15年,他也同意像Go-Jek这样的大公司必须要重视漏洞的寻找。同时他也很感谢Fallible为他们寻找的这些漏洞。
但Sheran表示,Fallible记录这次事件的方法本可以更好一些。他说:“这篇博客里并没有详述的说明,以往都会声明哪些漏洞仍然存在,哪些已经被修复。”
同时他指出,Go-Jek也在对漏洞进行悬赏,它鼓励黑客寻找漏洞,并向Go-Jek报告以获得奖金。
实际上这已经不是第一次Go-Jek发生信息安全问题了。早在去年1月,一位印尼程序员也进行了漏洞揭露,他还表示Go-Jek的应用中还有很多漏洞。
目前Go-Jek还涉及了支付业务,那么它更要去重视信息安全问题。同时,Go-Pay能让用户购买积分,并可以留到将来使用。最近,这家创企还尝试让Go-Pay进行用户间的积分转账,并从合作方的银行里取钱。
本文转自d1net(转载)
