漏洞报告 #2867022 - 不当访问控制导致行程劫持和乘客/司机PII泄露

漏洞概述

安全研究员grassye发现Bykea叫车预订API存在关键授权缺陷。/acknowledged_the_offer和/accept端点未能正确验证用户对trip_id的所有权，使得攻击者能够在请求中替换受害者的ID。

漏洞影响

此漏洞使攻击者能够：

• 强制不知情乘客接受行程，向司机暴露其个人身份信息(PII)
• 强制司机接受行程，即使他们已经取消或处于离线状态

时间线

• 2024年11月27日 8:39 UTC: grassye提交漏洞报告
• 2024年11月27日 9:30 UTC: Bykea向grassye发放赏金
• 2024年12月4日 5:32 UTC: Bykea再次发放赏金
• 2024年12月10日: 严重性从低调整为中等
• 2024年12月19日: 报告状态改为已解决
• 2025年6月26日: 报告被公开披露

技术详情

漏洞类型: 不安全的直接对象引用(IDOR) 严重等级: 中等(4 ~ 6.9) CVE ID: 无 赏金: 隐藏

处理状态

该漏洞已被Bykea团队确认并修复，报告状态标记为已解决。安全研究员grassye通过了ID验证，并与Bykea安全团队进行了多次交互，最终同意公开披露此漏洞报告。