Bykea授权漏洞:行程劫持与用户隐私泄露风险分析

本文详细分析了Bykea出行平台存在的授权漏洞,攻击者可通过篡改trip_id参数非法接管行程,导致乘客隐私信息泄露和司机被强制接单,涉及API端点安全设计和权限验证机制。

Bykea | 报告 #2867022 - 访问控制不当导致行程劫持和乘客/司机PII泄露

漏洞概要

安全研究员@grassye在Bykea的叫车服务API中发现关键授权缺陷。/acknowledged_the_offer和/accept端点未能正确验证用户对trip_id的所有权,使得攻击者可在请求中替换受害者的ID。此漏洞允许攻击者:1)将不知情乘客强制加入行程,使其PII(个人身份信息)暴露给司机;2)强制司机接受已取消或离线状态的行程。

时间线

  • 2024年11月27日 8:39 UTC:grassye向Bykea提交报告
  • 2024年11月27日 9:28 UTC:Bykea员工pingsudo发表评论
  • 2024年11月27日 9:30 UTC:Bykea向grassye发放奖金
  • 2024年12月4日 5:32 UTC:再次发放奖金
  • 2024年12月10日 14:52 UTC:漏洞严重性从低调整为中
  • 2024年12月19日 8:38 UTC:报告状态改为"已解决"
  • 2025年6月26日 11:35 UTC:报告公开披露

技术详情

漏洞类型:不安全的直接对象引用(IDOR) 影响端点:/acknowledged_the_offer, /accept 攻击向量:通过替换trip_id参数绕过所有权验证 影响范围:乘客隐私泄露、司机接单流程被操控

处理状态

  • 状态:已解决
  • 严重等级:中(4~6.9)
  • CVE ID:无
  • 奖金:隐藏
  • 账户详情:无
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次