【本報訊】全港首個單車共享自助租借系統gobee.bike，出現嚴重保安漏洞；用戶下載手機應用程式提供信用卡號碼等個人資料時，傳送及儲存均未經加密處理，有外洩風險。gobee.bike承認漏洞，450名用戶受影響，已即時刪除信用卡資料，以及更新應用程式堵塞漏洞，經調查有關資料未有外洩。惟揭露有關漏洞的博客建議「中招」用戶應「Cut卡」自保。
記者：周婷 蔡朗清

資深手機程式員、博客Gary對本報指，他分別拆解了gobee.bike手機租車應用程式的新（V0.1.0）舊（V0.0.9）兩個版本，發現兩者的保安程度極不理想，程式的源代碼（source code）「任人睇」，具相關知識的人幾乎可按照來編寫出一模一樣的程式，因此進一步了解傳送資料的情況。他發現，gobee.bike把用戶信用卡資料包括號碼、保安編碼及到期日，以未經加密方式傳送至gobee.bike伺服器，而伺服器同樣未經加密儲存資料，讓黑客輕易盜取用戶信用卡等敏感資料犯案。
gobee.bike發言人回覆本報查詢表示，單車共享系統上周三(19日)下午啟動後，發現手機租車應用程式（V0.0.9）存在保安問題，翌晚(20日)即修復漏洞推出新版本（V0.1.0），並採取保安嚴謹的「Stripe payment getaway」網付系統，確保付款安全，而伺服器亦不再存放用戶的信用卡資料。事件中有450名用戶受影響，已即時刪除其信用卡資料，經檢查未有資料外洩。
發言人強調，如有任何相關問題發生，gobee.bike會負全責，用戶要求退款可以聯絡mailto:[email protected] 。

專家促「Cut卡」自保

Gary確認gobee.bike新版應用程式已堵塞漏洞，惟受影響用戶的資料可能已被人盜取及複製，「黑客可能唔係即時用，但一年半載後先拎嚟用，到時根本難以追究」，他建議「中招」用戶最安全的做法是取消有關信用卡。
資訊科技商會榮譽會長方保僑亦表示，gobee.bike以未經加密的方式傳送用戶信用卡資料，犯了極低級的錯誤，「情況好似人喺一條透明嘅隧道行路，喺出面一眼睇哂，黑客要伸手入server(伺服器)，就會變得好容易。」
台灣共享單車Ubike則採用類似本港八達通的悠遊卡付費，卡主只要登記成Ubike用戶，按需要增值悠遊卡金額租借單車，不用擔心信用卡資料被盜；內地的共享單車摩拜等，則採用微信/支付寶支付費，但需綑綁信用卡。