Bykea API授权漏洞:行程劫持与用户信息泄露风险分析

本文详细分析了Bykea出行平台存在的API授权缺陷,攻击者可通过篡改trip_id参数劫持行程并获取乘客/司机敏感信息,涉及/acknowledged_the_offer和/accept端点的权限验证缺失问题。

Bykea | 报告 #2867022 - 访问控制不当导致行程劫持和乘客/司机PII泄露

漏洞概要

安全研究人员@grassye在Bykea的叫车服务API中发现关键授权缺陷。/acknowledged_the_offer和/accept端点未能正确验证用户对trip_id的所有权,使得攻击者可在请求中替换受害者的ID。此漏洞允许攻击者:1)强制不知情乘客接受行程,向司机暴露其PII信息;2)迫使司机接受已取消或离线状态的行程。

时间线

  • 2024年11月27日 8:39 UTC:grassye向Bykea提交报告
  • 2024年11月27日 9:30 UTC:Bykea向grassye发放赏金
  • 2024年12月10日:严重等级从低调整为中
  • 2024年12月19日:报告状态变更为"已解决"
  • 2025年6月26日:报告被公开披露

技术细节

漏洞类型:不安全的直接对象引用(IDOR) 影响端点

  • /acknowledged_the_offer
  • /accept

攻击向量:通过替换请求中的trip_id参数,绕过用户所有权验证机制

处理结果

状态:已解决 严重等级:中(4 ~ 6.9) 赏金:隐藏 CVE ID:无

参与方

  • 报告者:grassye(ID已验证)
  • 处理团队:Bykea安全团队(pingsudo)
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次