原标题:YouBike App密码验证回传机制未加密,用户密码以明文呈现
YouBike App爆发验证机制的设计有疏失,用户个资恐外洩
台湾资安漏洞通报平台HITCON ZeroDay于5月27日揭露,公共自行车租用服务YouBike App要求修改密码的回传机制未加密,手机号码与密码的数值是明文呈现,而且任何人可以输入手机号码,来更改用户的密码,并取得该用户在YouBike的资料。YouBike表示,他们已经在近日完成了修补,「目前没有任何YouBike用户受到影响。」
大多数网站的用户送出修改密码的要求后,网站同时会回传加密的资料,重複验证用户的身分。但根据ZeroDay团队分析YouBike App的封包发现,YouBike App提供修改密码功能的程式码,用户的手机号码和帐号没有转换成乱数形式的密文,而是直接暴露用户手机号码和密码来传递讯息。
此外,任何人可以在未经用户本人授权的情况,在URL网址修改密码变数的数值,来更改用户的密码。任何人能利用这项验证机制的疏失,直接修改不同手机号码的密码,同时取得用户个资,包括真实姓名、电子信箱、悠游卡卡号,以及骑乘纪录,甚至如果是使用联名卡绑定的用户,可能造成用户的金融资料外洩。
任何人可以输入不同的手机号码,来修改该用户的密码。图片来源:HITCON ZeroDay
ZeroDay团队于3月27日发现了这项疏失,并在4月6日通报YouBike。YouBike收到漏洞通报后,立即测试相关验证机制,并在5月25日修补完成,同时发布「YouBike 微笑单车2.3.12」的版本更新。
过去,统一超商的ibon售票系统在2015年也有相同的漏洞情况,骇客利用修改网页程式码的数值,来更改票价的金额,用1元的金额来购买多张餐券、游乐园门票。
相关:
5月31日,作为人民币兑美元中间价报价机制调整后,在岸市场首个交易日,人民币兑美元汇率出现强力反弹。当日,人民币兑美元中间价升值65个基点至6.8633。在岸人民币兑美元收盘价报6.8140,回到去年11月14日的阶段高点
新华社柏林5月30日电新闻背景:总理年度会晤机制下的中德关系大事记新华社记者袁帅应德国总理默克尔邀请,中国国务院总理李克强将于5月31日起正式访问德国,并与默克尔举行中德总理年度会晤。今年是中德建交4
今天小编为大家带来的是玩家曼妥思王子分享的掠食零件储藏室注意事项一览,对此感兴趣的朋友们快跟着小编来看看零件储藏室需要要注意些什么吧!零件储藏室注意事项一览冷却室地图有个着火的尸体,灭火后可以搜到门卡。
(原标题:保山市民捡到带密码的银行卡里面竟有30万元)近日,市民刘先生在街上无意捡到附密码的银行卡,刘先生处于贪便宜的心里就到附近银行的ATM机上试着操作查询余额,ATM机上显示余额为30万元,刘先生就试图取款
记者日前从银监会获悉,5月26日,银监会党委书记、主席、银行业改革领导小组组长郭树清主持召开银行业改革领导小组会议,全面总结银监会改革任务完成和推进情况,并就下一阶段深化银行业改革工作作出部署。推进各项任