Bykea | 报告 #2867022 - 访问控制不当导致行程劫持和乘客/司机PII泄露 | HackerOne
跳过主内容 > Hacktivity机会目录排行榜了解更多关于HackerOne登录49#2867022复制报告ID复制报告ID不当访问控制允许行程劫持和乘客/司机PII泄露分享:Bykea摘要菜单菜单
@grassye 在Bykea的叫车预订API中发现了一个关键授权缺陷。/acknowledged_the_offer 和 /accept 端点未能正确验证用户对trip_id的所有权,允许攻击者将受害者的ID替换到请求中。此漏洞使攻击者能够强制不知情的乘客接受行程,将其PII暴露给司机,或强制司机接受已取消或离线的行程。
时间线 ID验证成功完成ID验证检查的黑客。
- grassye 向Bykea提交报告。2024年11月27日,UTC时间8:39am
- 显示更早的活动 pingsudo Bykea员工 发表评论。2024年11月27日,UTC时间9:28am
- grassye 发表评论。2024年11月27日,UTC时间9:29am
- Bykea 奖励grassye赏金。2024年11月27日,UTC时间9:30am
- grassye 发表评论。2024年11月27日,UTC时间9:30am
- grassye 发表评论。2024年11月27日,UTC时间9:31am
- grassye 发表评论。2024年12月2日,UTC时间6:05am
- Bykea 奖励grassye赏金。2024年12月4日,UTC时间5:32am
- pingsudo Bykea员工 发表评论。2024年12月4日,UTC时间5:36am
- pingsudo Bykea员工 发表评论。2024年12月10日,UTC时间7:19am
- grassye 发表评论。更新于2024年12月10日,UTC时间12:51pm
- grassye 发表评论。更新于2024年12月10日,UTC时间12:57pm
- pingsudo Bykea员工 发表评论。2024年12月10日,UTC时间2:51pm
- pingsudo Bykea员工 将严重性从低更新为中。2024年12月10日,UTC时间2:52pm
- grassye 发表评论。更新于2024年12月10日,UTC时间3:31pm
- grassye 发表评论。2024年12月10日,UTC时间3:40pm
- pingsudo Bykea员工 发表评论。2024年12月11日,UTC时间12:31pm
- pingsudo Bykea员工 关闭报告并将状态更改为已解决。2024年12月19日,UTC时间8:38am
- grassye 请求披露此报告。2025年6月17日,UTC时间6:18am
- grassye 发表评论。2025年6月17日,UTC时间6:19am
- grassye 取消披露此报告的请求。2025年6月19日,UTC时间2:05pm
- pingsudo Bykea员工 发表评论。2025年6月26日,UTC时间10:28am
- pingsudo Bykea员工 更改报告标题。2025年6月26日,UTC时间10:48am
- pingsudo Bykea员工 请求披露此报告。2025年6月26日,UTC时间10:50am
- grassye 同意披露此报告。2025年6月26日,UTC时间11:35am
- 此报告已披露。2025年6月26日,UTC时间11:35am
报告于 2024年11月27日,UTC时间8:39am
报告者 grassye
报告给 Bykea
参与者
报告ID #2867022
已解决
严重性 中 (4 ~ 6.9)
披露于 2025年6月26日,UTC时间11:35am
弱点 不安全的直接对象引用 (IDOR)
CVE ID 无
赏金 隐藏
账户详情 无
看起来您的JavaScript被禁用了。要使用HackerOne,请在浏览器中启用JavaScript并刷新此页面。