印度網路安全公司Fallible宣稱Go-Jek應用存在幾個重要的安全性漏洞, 後者是印尼估值最高的創企, 並且是Uber以及Grab在東南亞的競爭對手。
Fallible在一則博客上公佈了這個發現。 這家公司專門去偵察應用程式介面(API)終端的漏洞, 科技公司設計這些介面主要就是為了與其它服務進行資料交換。 如果介面不安全, 那麼也有可能會引發資料洩露。
Fallible表示, 在Go-Jek的案例中, 我們能從一個乘務歷史介面中直接提取資訊, 包括任何一位元用戶乘過的任何一趟車, 甚至還能得到乘坐過程中的GPS座標。 另外這家公司還表示, 駭客能夠利用一些薄弱點直接獲得使用者通過App下的訂單細節, 甚至還可能干擾發給用戶的推送通知。
另一個有問題的API會洩露用戶手機號碼以及上下車地點等資訊, 但Fallible告訴外媒, 這個漏洞已經被修復。
另外其他的漏洞是否已被修復還不得而知,
Go-Jek的首席資訊安全官Sheran Gunasekera則表示有異議。
他表示, 當初Fallible於6月第一次聯繫公司後, 這些資料洩露問題已經在七月末被解決。
Sheran說:“我的意思並不是說我們的應用是完美地, 但對於用戶的資料保護, 我們絕對會認真對待。 ”
在資訊安全領域工作了15年, 他也同意像Go-Jek這樣的大公司必須要重視漏洞的尋找。 同時他也很感謝Fallible為他們尋找的這些漏洞。
但Sheran表示, Fallible記錄這次事件的方法本可以更好一些。 他說:“這篇博客裡並沒有詳述的說明, 以往都會聲明哪些漏洞仍然存在, 哪些已經被修復。 ”
同時他指出, Go-Jek也在對漏洞進行懸賞, 它鼓勵駭客尋找漏洞, 並向Go-Jek報告以獲得獎金。
實際上這已經不是第一次Go-Jek發生資訊安全問題了。
目前Go-Jek還涉及了支付業務, 那麼它更要去重視資訊安全問題。 同時, Go-Pay能讓用戶購買積分, 並可以留到將來使用。 最近, 這家創企還嘗試讓Go-Pay進行用戶間的積分轉帳, 並從合作方的銀行裡取錢。
本文來自獵雲網, 如若轉載, 請注明出處:http://www.lieyunwang.com/archives/291719