扣别人的钱任意骑车?在2017国际安全极客大赛GeekPwn年中赛上,毕业于浙大计算机专业的女程序员“tyy”上演示了多款共享单车的高危漏洞。通过平台漏洞选手可直接获取用户的个人资料、免费骑车。
作为安全圈的稀有物种,这位传说的中的女黑客一改传统码农形象,现身说法要为“女黑客一年不洗澡”辟谣。
“tyy” 透露自己私下兴趣爱好涉猎广泛:除了搞机也爱架子鼓。
(选手“tyy”在GeekPwn年中赛展示多款共享单车漏洞)
在比赛现场,tyy介绍小鸣单车、永安行、享骑和百拜四款共享单车都存在平台漏洞。、tyy 发现通过这些漏洞,可以查看到平台上任意用户的账户信息,包括行驶路径、账户余额等。比赛现场,“tyy“采取现场连线的方式展示了远程用现场评委的共享单车账号开锁、骑行消费。评委万涛表示:”我就这样莫名其妙穿越去上海骑车了。“
自2016年共享单车风靡各大一线城市以来,众多品牌蜂拥而至,如雨后春笋般冒了出来,以百万级的单车数量争夺基数庞大的用户群。但是由于一些平台存在漏洞,导致用户的实名认证、GPS 定位、押金和充值等隐私信息泄露,可能面临的黑产威胁也令人不寒而栗。
今年的GeekPwn大赛突破性地将比赛场地转移到了香港星梦游轮云顶梦号上,成为全球首次海上极客大赛,此次GeekPwn也吸引了数十位国内外顶尖的白帽黑客同场炫技,包含智能锁、平衡车、主流手机等都成为选手的目标。根据GeekPwn负责任的漏洞披露规则,组委会在赛后会将漏洞提交给相关厂商,协助修复漏洞。
编辑:
王蕊
关键词:
极客;黑客;共享单车;
甩开英特尔?苹果被曝未来笔记本将搭载自家芯片
