發現日期：2017/06/08
公開日期：2017/08/08

標題：oBike API個資洩漏

單位：OBike

敘述：
透過臉書或者其他分享管道可以取得 oBike 之邀請碼，
邀請碼之連結：
<a href="https://h5.o.bike/mobile/h5/invite.html?countryCode= 886&countryIndex=169&code=2093818400">https://h5.o.bike/mobile/h5/invite.html?countryCode= 886&countryIndex=169&code=2093818400</a>
可以取得邀請碼：2093818400
網頁中會呼叫 API：
<a href="https://mobile.o.bike/api/v1/member/coupon/invite?inviteCode=1710763891">https://mobile.o.bike/api/v1/member/coupon/invite?inviteCode=1710763891</a>
當中會回傳完整使用者資訊，造成資訊洩露。

引用來源：https://zeroday.hitcon.org/vulnerability/ZD-2017-00483