在全球最大的关注智能生活的黑客大赛GeekPwn嘉年华现场,白帽黑客现场演示了如何利用嘟嘟美甲充值系统项目的漏洞,通过在自己手机上调用支付宝,在实际支付1分钱的情况下,完成任意价格的订单充值。
O2O服务已经渗透到购物、交通、衣食住行等方方面面,家政、餐饮、美业、生鲜、保健等O2O应用更是风生水起。然而在用户获得极大便利服务的同时却难免遭遇数据泄露、信息安全等问题。
现场选手还进行了利用“阿姨帮”系统未知漏洞, 进行任意充值的的演示,其实,除了“阿姨帮”很多O2O产品都在支付接口有着类似的漏洞。有趣的是,这位选手原本报名的是一个名为“E家洁”的O2O项目,因为在大会当天,官方关闭了云服务,经过选手短暂的协商后,临时改为“阿姨帮”。除此之外,选手们还成功演示了攻破全国最大的上门推拿按摩平台功夫熊,极速在线选座购票平台微票儿等O2O服务平台。
此外,黑客还可以在获知用户信息,例如手机号、家庭住址、平台账号等,威胁到用户的财产和人身安全。
按照GeekPwn“始终坚持科学中立不妥协、负责任的漏洞披露原则”,赛前,GeekPwn组委会邀请所有项目涉及的厂商现场观看,赛后,GeekPwn组委会第一时间向厂商发送了漏洞报告,以协助所有厂商第一时间修补漏洞。
对于已深入渗透大众生活的O2O平台来说,此次GeekPwn智能软硬件挑战赛无疑是一次高效率、零成本完善产品的机会。
