移动跑腿应用Zaarly遭遇用户电话号码,私信等信息泄露安全问题
创业公司的安全问题不容忽视,此前我们曾报导过Dropbox的任意密码登陆问题,现在颇受欢迎的移动跑腿应用Zaarly也在软件升级过程中出现了漏洞使得用户的电话号码和买卖双方间的私信可能遭到泄露。
漏洞利用者只需要进入Zaarly的listings.JSON 文件,指定想要查看的地区的经纬度坐标,该应用就会显示出正常的跑腿任务名单以及正常情况下不应该出现的用户ID,电话号码和私信等内容。
创业公司的安全问题不容忽视,此前我们曾报导过
Dropbox的任意密码登陆问题,现在颇受欢迎的
移动跑腿应用Zaarly也在软件升级过程中出现了漏洞使得用户的电话号码和买卖双方间的私信可能遭到泄露。
漏洞利用者只需要进入Zaarly的listings.JSON 文件,指定想要查看的地区的经纬度坐标,该应用就会显示出正常的跑腿任务名单以及正常情况下不应该出现的用户ID,电话号码和私信等内容。
对于该安全问题,Zaarly CEO Bo Fishback表示公司收到通知后15分钟之内就已经修复了。此外他还强调尽管可能泄露了一些用户信息,但是并未涉及到包括信用卡账户等在内的敏感信息。
Via
TC
