共享单车平台安全漏洞浮现 威胁用户金钱隐私安全

共享单车平台安全漏洞浮现 威胁用户金钱隐私安全

随着共享单车布局的深入，如今在各大城市的街头上你都能看见它的影子，可以说如今共享单车已经融入到了市民的生活之中。不过在近日举行的2017国际安全极客大赛GeekPwn年中赛上，共享单车平台却被曝出存在巨大安全漏洞，一位女程序员仅用1分钟就直接攻破了共享单车的安全防御系统，直接获取用户的个人资料、免费骑车的过程，这也引起了外界极大的关注。

毕业于浙大计算机专业的“tyy” (化名)是此次参赛的唯一女黑客。在大赛上，她只用了一台电脑，在不到1分钟的时间里就获得了评委手机上关于小鸣单车、永安行、享骑和百拜四款共享单车的账户信息，包括骑行记录、行驶路径、账户余额等。随后，她现场连线了远在上海的朋友，展示了远程用现场评委的共享单车账号开锁、骑行消费。

tyy表示，她发现这四款单车都存在云端逻辑漏洞，可以通过篡改输入参数，进而直接访以及控制他人的账号。获取用户的个人账户信息后，登录自己的账户扫码骑车，扣除的却是别人账户的余额。这样的漏洞危害性不仅在于用户损失金钱，更重要的是用户隐私泄露。

在如此之短的时间就可以轻松破解，网络上对此议论纷纷，有分析人士认为，这暴露出共享单车云端的漏洞技术含量很低。近年我国 “风口”互联网行业发展速度远远大于技术发展速度，技术发展速度又远远大于安全能力发展的速度。可能有些行业实践超过美国十年，但安全能力却落后十年。