Uber потвърждава уязвимостта при поглъщане на акаунта, открита от Forbes 30 под 30 хонореи


<div _ngcontent-c15 = "" innerhtml = "

Открита е уязвимост на сигурността, която може да позволи на нападателите да компрометират и контролират всеки Uber акаунт. Изследователят по сигурността, който откри недостатъка, разкри, че уязвимостта може да бъде използвана, за да се проследи местоположението на потребителя и да се вземат вози от неговия акаунт. Както и потребителите на Uber, същата уязвимост се отрази на акаунти на драйвери на Uber и акаунти на Uber Eats.

Как един Forbes 30 под 30 honoree би могъл да хакне акаунта ви в Uber

Ананд Пракаш, основател на AppSecure и a Forbes 30 Под 30 honoree, откриха, че е възможно атакуващият да използва уязвимостта чрез заявка за интерфейс за програмиране на приложения (API). Това включва първо придобиване на универсален уникален идентификатор на потребителя (UUID) на всеки потребител чрез изпращане на заявка за API, която включва или техния телефонен номер или имейл адрес. „След като изтеглите Uber UUID от заявката за API,“ – каза Пракаш, "можете да преиграете заявката, използвайки Uber UUID на жертвата и да получите достъп до лична информация като маркер за достъп (мобилни приложения), местоположение и адрес." Пракаш казва, че с маркера за достъп за мобилни приложения той успял да компрометира напълно тестов акаунт по този начин, като поискал рейсове, получаване на информация за плащания и други. А доказателство за видео концептуал, показващ методологията за атака в действие, можете да намерите тук,

Uber се учи от грешки от миналото

Uber заслужено получи лоша преса след нарушение на данните през 2016 г., при което бяха изложени милиони записи на шофьори и клиенти. Облеклото за возене също е похарчило до $ 148 милиона (120 милиона британски лири) уреждат правни действия внесен от правителството на САЩ и около 50 щата, след като не успя да разкрие напълно детайлите за нарушения пред регулаторите. Тогава нещата започнаха да се променят към по-добро в Uber, що се отнася до поемането на собственост върху проблемите на киберсигурността. На 21 ноември 2017 г. Дара Хосрошахи, главен изпълнителен директор в Uber, заяви: „Докато не мога да залича миналото, мога да се ангажирам от името на всеки служител на Uber, че ще се поучим от грешките си. Променяме начина, по който правим бизнес, поставяйки почтеността в основата на всяко решение, което вземаме и работим усилено, за да спечелим доверието на нашите клиенти. "

Uber реагира бързо, за да отстрани проблема със сигурността

Начинът, по който Uber реагира на това последно разкриване на уязвимостта, подсказва, че Khosrowshahi не е просто плащал услуга на киберсигурността. "Uber много бързо отстрани уязвимостта след моя доклад", казва Пракаш. В действителност, като съобщи за проблема на Uber чрез платформата за печалба за грешки HackerOne на 19 април, Uber е приложил поправка до 26 април. Uber също е платил на Prakash сума от $ 6500 (£ 5275), за да добави към своята вече впечатляваща награда. Докато все още не е един от HackerOne хакери, които вече са станали милионери, ако той продължава да намира уязвимости с тази скорост, е само въпрос на време.

Превенцията е по-добра от лечението

Попитах Пракаш какво трябва да правят организациите, за да предотвратят този вид уязвимост. „Организациите трябва да извършват прегледи на защитен код и да отварят програми за безплатни грешки, когато имат вътрешен екип за сигурност“, казва Пракаш, „но никой не може да се увери, че системата е 100% сигурна, затова хора като мен съществуват, за да помогнат за създаването на интернет по-безопасно място. " Едно е сигурно, Пракаш помага да се направи Uber по-безопасно място; в момента е класиран на четвърто място в платформата HackerOne Uber bounty програма благодарение на цял куп разкрити уязвимости, впоследствие фиксирани и платени купища.

">

Открита е уязвимост на сигурността, която може да позволи на нападателите да компрометират и контролират всеки Uber акаунт. Изследователят по сигурността, който откри недостатъка, разкри, че уязвимостта може да бъде използвана, за да се проследи местоположението на потребителя и да се вземат вози от неговия акаунт. Както и потребителите на Uber, същата уязвимост се отрази на акаунти на драйвери на Uber и акаунти на Uber Eats.

Как един Forbes 30 под 30 honoree би могъл да хакне акаунта ви в Uber

Ананд Пракаш, основател на AppSecure и Forbes 30 Under 30 honoree, откри, че е възможно един нападател да използва уязвимостта чрез заявка за интерфейс за програмиране на приложения (API). Това включва първо придобиване на универсален уникален идентификатор на потребителя (UUID) на всеки потребител чрез изпращане на заявка за API, която включва или техния телефонен номер или имейл адрес. "След като изтеглите Uber UUID от заявката за API", каза Пракаш, "можете да възпроизведете заявката, използвайки Uber UUID на жертвата и да получите достъп до частна информация като маркер за достъп (мобилни приложения), местоположение и адрес." Пракаш казва, че с маркера за достъп за мобилни приложения той успял да компрометира напълно тестов акаунт по този начин, като поискал рейсове, получаване на информация за плащания и други. Доказателство за концептуално видео, показващо методологията за атака в действие, можете да намерите тук.

Uber се учи от грешки от миналото

Uber заслужено получи лоша преса след нарушение на данните през 2016 г., при което бяха изложени милиони записи на драйвери и клиенти. Тоалетната екипировка също изразходва мощните 148 милиона долара (120 милиона британски лири), за да уреди съдебни дела, заведени от правителството на САЩ и около 50 щата, след като не успя да разкрие напълно детайлите за нарушения пред регулаторите. Тогава нещата започнаха да се променят към по-добро в Uber, що се отнася до поемането на собственост върху проблемите на киберсигурността. На 21 ноември 2017 г. Дара Хосрошахи, главен изпълнителен директор в Uber, заяви: „Докато не мога да залича миналото, мога да се ангажирам от името на всеки служител на Uber, че ще се поучим от грешките си. Променяме начина, по който правим бизнес, поставяйки почтеността в основата на всяко решение, което вземаме и работим усилено, за да спечелим доверието на нашите клиенти. "

Uber реагира бързо, за да отстрани проблема със сигурността

Начинът, по който Uber реагира на това последно разкриване на уязвимостта, подсказва, че Khosrowshahi не е просто плащал услуга на киберсигурността. "Uber много бързо отстрани уязвимостта след моя доклад", казва Пракаш. В действителност, като съобщи за проблема на Uber чрез платформата за печалба за грешки HackerOne на 19 април, Uber е приложил поправка до 26 април. Uber също е платил на Prakash сума от $ 6500 (£ 5275), за да добави към своята вече впечатляваща награда. Въпреки че все още не е един от хакерите на HackerOne, които вече са станали милионери, ако той продължава да намира уязвимости с тази скорост, е само въпрос на време.

Превенцията е по-добра от лечението

Попитах Пракаш какво трябва да правят организациите, за да предотвратят този вид уязвимост. „Организациите трябва да извършват прегледи на защитен код и да отварят програми за безплатни грешки, когато имат вътрешен екип за сигурност“, казва Пракаш, „но никой не може да се увери, че системата е 100% сигурна, затова хора като мен съществуват, за да помогнат за създаването на интернет по-безопасно място. " Едно е сигурно, Пракаш помага да се направи Uber по-безопасно място; понастоящем той е класиран на четвърто място в програмата на Uber bounty на платформата HackerOne благодарение на цял куп разкрити уязвимости, впоследствие фиксирани и платени купища.