據(jù)《青年報(bào)》報(bào)道，聚光燈下，孫零（化名）手指在鍵盤上來回滾動(dòng)，屏幕上一串串代碼飛速略過。一分鐘后，四款共享單車APP悉數(shù)被破解，用戶信息完整出現(xiàn)在了孫零手機(jī)中。在日前結(jié)束的2017國際安全極客大賽GeekPwn年中賽上，這名25歲的女程序員一鳴驚人，但實(shí)際上，她涉足信息安全領(lǐng)域只有半年。“共享經(jīng)濟(jì)發(fā)展快是好事，但系統(tǒng)優(yōu)化跟不上就是好心辦壞事。”她希望，以此為契機(jī)敦促廠商修復(fù)漏洞，同時(shí)把共享經(jīng)濟(jì)背后潛在的信息安全風(fēng)險(xiǎn)展現(xiàn)在大眾面前。

　　“裸騎”女生展示黑入過程不到1分鐘

半個(gè)多月前，一則“90后女黑客秒破共享單車APP”的消息在網(wǎng)上傳開，作為事件的主人公，孫零直言還沒適應(yīng)“女黑客”這一稱號，“我充其量就是個(gè)信息安全愛好者。”

今年5月13日，孫零隨賽事主辦方踏上了香港某游輪，作為幾十名“白帽黑客”（攻擊系統(tǒng)以便進(jìn)行安全審查的黑客）中唯一的一名女生，她的身影格外顯眼。

在比賽現(xiàn)場，孫零介紹小鳴單車、永安行、享騎和百拜四款共享單車都存在平臺漏洞。而通過攻擊這些漏洞，可以查看到平臺上任意用戶的賬戶信息，包括行駛路徑、賬戶余額等。“在評委聯(lián)網(wǎng)使用手機(jī)里四款單車APP時(shí)，我已經(jīng)通過網(wǎng)絡(luò)傳輸拿到了我想要的一些未解碼的數(shù)據(jù)，接著再在我的電腦上寫個(gè)程序，解碼編譯到我自己的手機(jī)里，對方的用戶信息就到了我手上，再用這些信息騙過系統(tǒng)登錄APP，就可以穿別人的馬甲騎車了。”

比賽現(xiàn)場，為了證明攻擊成功，孫零還采取現(xiàn)場連線的方式展示了遠(yuǎn)程用評委的共享單車賬號開鎖、騎行消費(fèi)。讓人驚訝的是，整個(gè)攻擊過程用時(shí)不到一分鐘。

孫零指出，雖然技術(shù)層面看也許漏洞并不“高級”，但是造成的后果卻很嚴(yán)重。賬戶里的錢被盜刷還是小事，個(gè)人信息泄露后果不堪設(shè)想。“一般人騎車是為了通勤，路徑主要是家到地鐵站或者公司到地鐵站，一旦信息外泄，不法分子一定位就知道你家和單位的地址，再通過一些技術(shù)手段，你生活的方方面面都有可能暴露。”她戲稱，如果漏洞不及時(shí)修復(fù)，不少用戶會面臨“在黑客面前裸騎”的窘境。“未知攻焉知防”，這是黑客圈的一句名言。在計(jì)算機(jī)專業(yè)出身的孫零看來，程序員正向?qū)懘�碼與反向挖漏洞之間用到的技術(shù)并沒有嚴(yán)格的分界線。

雖然比賽當(dāng)天一舉攻破了四款共享單車APP的系統(tǒng)，但孫零接觸信息安全領(lǐng)域只有短短半年。孫零坦言，最早關(guān)注信息安全領(lǐng)域，只是為了寫出更難被攻破的代碼。“有時(shí)候看到別人寫的代碼被攻擊了，會想想自己會怎么寫這個(gè)代碼。”她說，身為程序員，換位思考是一種職業(yè)習(xí)慣。

今年4月初，孫零將目光投向了熱門產(chǎn)業(yè)共享單車。翻看了一些相關(guān)報(bào)道后，她發(fā)現(xiàn)，共享單車業(yè)務(wù)上的漏洞很多已見諸報(bào)端，但技術(shù)層面的卻鮮有人提及。“沒有報(bào)道不代表不存在漏洞，也許有人在利用這些漏洞牟利呢？”抱著試一試的心態(tài)，她從自己最常用的摩拜單車APP入手研究，很快發(fā)現(xiàn)了漏洞，但還沒等孫零把結(jié)果發(fā)給企業(yè)，當(dāng)天摩拜就更新了系統(tǒng)，修復(fù)了漏洞。

在一個(gè)月的時(shí)間里，她先后分析了十多款共享單車軟件，發(fā)現(xiàn)其中七款存在漏洞。雖然手握多款系統(tǒng)的漏洞，但孫零發(fā)現(xiàn)，自己沒有有效的途徑將漏洞反饋給企業(yè)。最終，她選擇通過參加比賽由賽事主辦方向企業(yè)遞交漏洞報(bào)告。

比賽當(dāng)天，她演示了攻破4款共享單車APP的過程。事后，她協(xié)助賽事主辦方擬寫了安全問題報(bào)告。據(jù)主辦方介紹，賽事組委會將在兩周內(nèi)將安全問題細(xì)節(jié)提交給相關(guān)廠商。廠商需在接收到安全問題報(bào)告后一周內(nèi)，給予安全問題是否客觀存在的官方確認(rèn)。在特定情況下，組委會將保留對相關(guān)安全問題的進(jìn)一步處理權(quán)利，例如選擇第三方漏洞報(bào)告平臺對相關(guān)問題進(jìn)行有限地公示，以敦促相應(yīng)廠商盡快重視和修復(fù)產(chǎn)品安全問題。

　　“碼農(nóng)”憑興趣學(xué)習(xí)或許是最好狀態(tài)

GeekPwn年中賽中，孫零最終獲得一個(gè)優(yōu)勝獎(jiǎng)和一個(gè)由觀眾票選的最佳表現(xiàn)獎(jiǎng)。對于榮譽(yù)，她十分謙虛，“可能大家覺得我是女孩子鼓勵(lì)一下。”

比賽結(jié)束后，從披露室出來的孫零成了媒體追逐的焦點(diǎn)，電話一刻沒停過。如今，比賽引起的風(fēng)波漸漸平息，她又回歸了那個(gè)沉迷寫代碼的樸實(shí)“碼農(nóng)”。“宅”、“不修邊幅”是不少人對女程序員的刻板印象，之前網(wǎng)上流傳出一則“女程序員一年不洗澡”的新聞，同為程序員的孫零沒少被身邊不少朋友以此打趣。“不洗澡是不可能的，不化妝倒是真的。”孫零就職于一家小型互聯(lián)網(wǎng)公司，每天乘地鐵上下班。在她看來，化完妝擠地鐵得不償失，不如“多睡一會兒”。

雖然在打扮方面，孫零顯得大大咧咧，但對待工作，她卻異常投入。從浙江大學(xué)畢業(yè)后，這個(gè)陜西姑娘只身來到上海。她說，自己很享受上�？旃�(jié)奏的生活方式，“就算你自己慢下來，環(huán)境會推著你往前走。”

在一次次“看似不可能”的任務(wù)磨礪下，對未知的恐懼感逐漸消散，她說，自己現(xiàn)在變得特別愿意嘗試新事物，每天下班后都會鉆研自學(xué)技術(shù)。就連困擾她整整十多年的恐水癥，她也在工作一年之后成功克服。

對于未來，孫零表示會繼續(xù)探索信息安全領(lǐng)域，但并不想給自己壓力，“憑著興趣去學(xué)習(xí)或許是最好的狀態(tài)。