• 18
印尼明星创企Go-Jek被爆存在重大安全漏洞,或引发数据泄漏
统计 阅读时间大约2分钟(734字)

2017-03-30 印尼明星创企Go-Jek被爆存在重大安全漏洞,或引发数据泄漏

Go-Jek在对漏洞进行悬赏,它鼓励黑客寻找漏洞并报告。

【猎云网(微信号:ilieyun)】3月30日报道 (编译:Yilia)

印度网络安全公司Fallible宣称Go-Jek应用存在几个重要的安全漏洞,后者是印尼估值最高的创企,并且是Uber以及Grab在东南亚的竞争对手。但Go-Jek宣称,这些问题已被修复。

Fallible在一则博客上公布了这个发现。这家公司专门去侦察应用程序接口(API)终端的漏洞,科技公司设计这些接口主要就是为了与其它服务进行数据交换。如果接口不安全,那么也有可能会引发数据泄露。

Fallible表示,在Go-Jek的案例中,我们能从一个乘务历史接口中直接提取信息,包括任何一位用户乘过的任何一趟车,甚至还能得到乘坐过程中的GPS坐标。另外这家公司还表示,黑客能够利用一些薄弱点直接获得用户通过App下的订单细节,甚至还可能干扰发给用户的推送通知。

另一个有问题的API会泄露用户手机号码以及上下车地点等信息,但Fallible告诉外媒,这个漏洞已经被修复。

另外其他的漏洞是否已被修复还不得而知,当初他们发现漏洞时决定给Go-Jek几个月的时间去寻找。

Go-Jek的首席信息安全官Sheran Gunasekera则表示有异议。

他表示,当初Fallible于6月第一次联系公司后,这些数据泄露问题已经在七月末被解决。

Sheran说:“我的意思并不是说我们的应用是完美地,但对于用户的数据保护,我们绝对会认真对待。”

在信息安全领域工作了15年,他也同意像Go-Jek这样的大公司必须要重视漏洞的寻找。同时他也很感谢Fallible为他们寻找的这些漏洞。

但Sheran表示,Fallible记录这次事件的方法本可以更好一些。他说:“这篇博客里并没有详述的说明,以往都会声明哪些漏洞仍然存在,哪些已经被修复。”

同时他指出,Go-Jek也在对漏洞进行悬赏,它鼓励黑客寻找漏洞,并向Go-Jek报告以获得奖金。

实际上这已经不是第一次Go-Jek发生信息安全问题了。早在去年1月,一位印尼程序员也进行了漏洞揭露,他还表示Go-Jek的应用中还有很多漏洞。

目前Go-Jek还涉及了支付业务,那么它更要去重视信息安全问题。同时,Go-Pay能让用户购买积分,并可以留到将来使用。最近,这家创企还尝试让Go-Pay进行用户间的积分转账,并从合作方的银行里取钱。

1、猎云网原创文章未经授权转载必究,如需转载请联系官方微信号进行授权。
2、转载时须在文章头部明确注明出处、保留官方微信、作者和原文超链接。如转自猎云网(微信号:lieyunjingxuan
)字样。
3、猎云网报道中所涉及的融资金额均由创业公司提供,仅供参考,猎云网不对真实性背书。
4、联系猎云,请加微信号:jinjilei
相关阅读
推荐阅读
{{item.author_display_name}}
{{item.author_display_name}}
{{item.author_user_occu}}
{{item.author_user_sign}}
×