印度網(wǎng)絡(luò)安全公司Fallible宣稱Go-Jek應(yīng)用存在幾個(gè)重要的安全漏洞,后者是印尼估值最高的創(chuàng)企,并且是Uber以及Grab在東南亞的競(jìng)爭(zhēng)對(duì)手。但Go-Jek宣稱,這些問(wèn)題已被修復(fù)。
Fallible在一則博客上公布了這個(gè)發(fā)現(xiàn)。這家公司專門(mén)去偵察應(yīng)用程序接口(API)終端的漏洞,科技公司設(shè)計(jì)這些接口主要就是為了與其它服務(wù)進(jìn)行數(shù)據(jù)交換。如果接口不安全,那么也有可能會(huì)引發(fā)數(shù)據(jù)泄露。
Fallible表示,在Go-Jek的案例中,我們能從一個(gè)乘務(wù)歷史接口中直接提取信息,包括任何一位用戶乘過(guò)的任何一趟車(chē),甚至還能得到乘坐過(guò)程中的GPS坐標(biāo)。另外這家公司還表示,黑客能夠利用一些薄弱點(diǎn)直接獲得用戶通過(guò)App下的訂單細(xì)節(jié),甚至還可能干擾發(fā)給用戶的推送通知。
另一個(gè)有問(wèn)題的API會(huì)泄露用戶手機(jī)號(hào)碼以及上下車(chē)地點(diǎn)等信息,但Fallible告訴外媒,這個(gè)漏洞已經(jīng)被修復(fù)。
另外其他的漏洞是否已被修復(fù)還不得而知,當(dāng)初他們發(fā)現(xiàn)漏洞時(shí)決定給Go-Jek幾個(gè)月的時(shí)間去尋找。
Go-Jek的首席信息安全官Sheran Gunasekera則表示有異議。
他表示,當(dāng)初Fallible于6月第一次聯(lián)系公司后,這些數(shù)據(jù)泄露問(wèn)題已經(jīng)在七月末被解決。
Sheran說(shuō):“我的意思并不是說(shuō)我們的應(yīng)用是完美地,但對(duì)于用戶的數(shù)據(jù)保護(hù),我們絕對(duì)會(huì)認(rèn)真對(duì)待。”
在信息安全領(lǐng)域工作了15年,他也同意像Go-Jek這樣的大公司必須要重視漏洞的尋找。同時(shí)他也很感謝Fallible為他們尋找的這些漏洞。
但Sheran表示,F(xiàn)allible記錄這次事件的方法本可以更好一些。他說(shuō):“這篇博客里并沒(méi)有詳述的說(shuō)明,以往都會(huì)聲明哪些漏洞仍然存在,哪些已經(jīng)被修復(fù)。”
同時(shí)他指出,Go-Jek也在對(duì)漏洞進(jìn)行懸賞,它鼓勵(lì)黑客尋找漏洞,并向Go-Jek報(bào)告以獲得獎(jiǎng)金。
實(shí)際上這已經(jīng)不是第一次Go-Jek發(fā)生信息安全問(wèn)題了。早在去年1月,一位印尼程序員也進(jìn)行了漏洞揭露,他還表示Go-Jek的應(yīng)用中還有很多漏洞。
目前Go-Jek還涉及了支付業(yè)務(wù),那么它更要去重視信息安全問(wèn)題。同時(shí),Go-Pay能讓用戶購(gòu)買(mǎi)積分,并可以留到將來(lái)使用。最近,這家創(chuàng)企還嘗試讓Go-Pay進(jìn)行用戶間的積分轉(zhuǎn)賬,并從合作方的銀行里取錢(qián)。
京公網(wǎng)安備 11010502049343號(hào)