扣別人的錢任意騎車？在2017國際安全極客大賽GeekPwn年中賽上，畢業(yè)于浙大計(jì)算機(jī)專業(yè)的女程序員“tyy”上演示了多款共享單車的高危漏洞。通過平臺漏洞選手可直接獲取用戶的個(gè)人資料、免費(fèi)騎車。

　　作為安全圈的稀有物種，這位傳說的中的女黑客一改傳統(tǒng)碼農(nóng)形象，現(xiàn)身說法要為“女黑客一年不洗澡”辟謠。

　　“tyy” 透露自己私下興趣愛好涉獵廣泛：除了搞機(jī)也愛架子鼓。

　�。ㄟx手“tyy”在GeekPwn年中賽展示多款共享單車漏洞）

　　在比賽現(xiàn)場，tyy介紹小鳴單車、永安行、享騎和百拜四款共享單車都存在平臺漏洞。、tyy 發(fā)現(xiàn)通過這些漏洞，可以查看到平臺上任意用戶的賬戶信息，包括行駛路徑、賬戶余額等。比賽現(xiàn)場，“tyy“采取現(xiàn)場連線的方式展示了遠(yuǎn)程用現(xiàn)場評委的共享單車賬號開鎖、騎行消費(fèi)。評委萬濤表示：”我就這樣莫名其妙穿越去上海騎車了�！�

　　自2016年共享單車風(fēng)靡各大一線城市以來，眾多品牌蜂擁而至，如雨后春筍般冒了出來，以百萬級的單車數(shù)量爭奪基數(shù)龐大的用戶群。但是由于一些平臺存在漏洞，導(dǎo)致用戶的實(shí)名認(rèn)證、GPS 定位、押金和充值等隱私信息泄露，可能面臨的黑產(chǎn)威脅也令人不寒而栗。

　　今年的GeekPwn大賽突破性地將比賽場地轉(zhuǎn)移到了香港星夢游輪云頂夢號上，成為全球首次海上極客大賽，此次GeekPwn也吸引了數(shù)十位國內(nèi)外頂尖的白帽黑客同場炫技，包含智能鎖、平衡車、主流手機(jī)等都成為選手的目標(biāo)。根據(jù)GeekPwn負(fù)責(zé)任的漏洞披露規(guī)則，組委會在賽后會將漏洞提交給相關(guān)廠商，協(xié)助修復(fù)漏洞。