據《青年報》報道，聚光燈下，孫零（化名）手指在鍵盤上來回滾動，屏幕上一串串代碼飛速略過。一分鐘后，四款共享單車APP悉數被破解，用戶信息完整出現在了孫零手機中。在日前結束的2017國際安全極客大賽GeekPwn年中賽上，這名25歲的女程序員一鳴驚人，但實際上，她涉足信息安全領域只有半年。“共享經濟發展快是好事，但系統優化跟不上就是好心辦壞事。”她希望，以此為契機敦促廠商修復漏洞，同時把共享經濟背后潛在的信息安全風險展現在大眾面前。

　　“裸騎”女生展示黑入過程不到1分鐘

半個多月前，一則“90后女黑客秒破共享單車APP”的消息在網上傳開，作為事件的主人公，孫零直言還沒適應“女黑客”這一稱號，“我充其量就是個信息安全愛好者。”

今年5月13日，孫零隨賽事主辦方踏上了香港某游輪，作為幾十名“白帽黑客”（攻擊系統以便進行安全審查的黑客）中唯一的一名女生，她的身影格外顯眼。

在比賽現場，孫零介紹小鳴單車、永安行、享騎和百拜四款共享單車都存在平臺漏洞。而通過攻擊這些漏洞，可以查看到平臺上任意用戶的賬戶信息，包括行駛路徑、賬戶余額等。“在評委聯網使用手機里四款單車APP時，我已經通過網絡傳輸拿到了我想要的一些未解碼的數據，接著再在我的電腦上寫個程序，解碼編譯到我自己的手機里，對方的用戶信息就到了我手上，再用這些信息騙過系統登錄APP，就可以穿別人的馬甲騎車了。”

比賽現場，為了證明攻擊成功，孫零還采取現場連線的方式展示了遠程用評委的共享單車賬號開鎖、騎行消費。讓人驚訝的是，整個攻擊過程用時不到一分鐘。

孫零指出，雖然技術層面看也許漏洞并不“高級”，但是造成的后果卻很嚴重。賬戶里的錢被盜刷還是小事，個人信息泄露后果不堪設想。“一般人騎車是為了通勤，路徑主要是家到地鐵站或者公司到地鐵站，一旦信息外泄，不法分子一定位就知道你家和單位的地址，再通過一些技術手段，你生活的方方面面都有可能暴露。”她戲稱，如果漏洞不及時修復，不少用戶會面臨“在黑客面前裸騎”的窘境。“未知攻焉知防”，這是黑客圈的一句名言。在計算機專業出身的孫零看來，程序員正向寫代碼與反向挖漏洞之間用到的技術并沒有嚴格的分界線。

雖然比賽當天一舉攻破了四款共享單車APP的系統，但孫零接觸信息安全領域只有短短半年。孫零坦言，最早關注信息安全領域，只是為了寫出更難被攻破的代碼。“有時候看到別人寫的代碼被攻擊了，會想想自己會怎么寫這個代碼。”她說，身為程序員，換位思考是一種職業習慣。

今年4月初，孫零將目光投向了熱門產業共享單車。翻看了一些相關報道后，她發現，共享單車業務上的漏洞很多已見諸報端，但技術層面的卻鮮有人提及。“沒有報道不代表不存在漏洞，也許有人在利用這些漏洞牟利呢？”抱著試一試的心態，她從自己最常用的摩拜單車APP入手研究，很快發現了漏洞，但還沒等孫零把結果發給企業，當天摩拜就更新了系統，修復了漏洞。

在一個月的時間里，她先后分析了十多款共享單車軟件，發現其中七款存在漏洞。雖然手握多款系統的漏洞，但孫零發現，自己沒有有效的途徑將漏洞反饋給企業。最終，她選擇通過參加比賽由賽事主辦方向企業遞交漏洞報告。

比賽當天，她演示了攻破4款共享單車APP的過程。事后，她協助賽事主辦方擬寫了安全問題報告。據主辦方介紹，賽事組委會將在兩周內將安全問題細節提交給相關廠商。廠商需在接收到安全問題報告后一周內，給予安全問題是否客觀存在的官方確認。在特定情況下，組委會將保留對相關安全問題的進一步處理權利，例如選擇第三方漏洞報告平臺對相關問題進行有限地公示，以敦促相應廠商盡快重視和修復產品安全問題。

　　“碼農”憑興趣學習或許是最好狀態

GeekPwn年中賽中，孫零最終獲得一個優勝獎和一個由觀眾票選的最佳表現獎。對于榮譽，她十分謙虛，“可能大家覺得我是女孩子鼓勵一下。”

比賽結束后，從披露室出來的孫零成了媒體追逐的焦點，電話一刻沒停過。如今，比賽引起的風波漸漸平息，她又回歸了那個沉迷寫代碼的樸實“碼農”。“宅”、“不修邊幅”是不少人對女程序員的刻板印象，之前網上流傳出一則“女程序員一年不洗澡”的新聞，同為程序員的孫零沒少被身邊不少朋友以此打趣。“不洗澡是不可能的，不化妝倒是真的。”孫零就職于一家小型互聯網公司，每天乘地鐵上下班。在她看來，化完妝擠地鐵得不償失，不如“多睡一會兒”。

雖然在打扮方面，孫零顯得大大咧咧，但對待工作，她卻異常投入。從浙江大學畢業后，這個陜西姑娘只身來到上海。她說，自己很享受上海快節奏的生活方式，“就算你自己慢下來，環境會推著你往前走。”

在一次次“看似不可能”的任務磨礪下，對未知的恐懼感逐漸消散，她說，自己現在變得特別愿意嘗試新事物，每天下班后都會鉆研自學技術。就連困擾她整整十多年的恐水癥，她也在工作一年之后成功克服。

對于未來，孫零表示會繼續探索信息安全領域，但并不想給自己壓力，“憑著興趣去學習或許是最好的狀態。