Uber kinnitab konto ülevõtmise haavatavust, mille leidis Forbes 30 alla 30-aastane autasu


<div _ngcontent-c15 = "" innerhtml = "

Avastatud on turvaauk, mis võib ründajatel võimaldada Uberi konto ohustamist ja kontrolli. Vea leidnud turbeuurija on avastanud, et seda haavatavust saab ära kasutada kasutaja asukoha jälgimiseks ja tema kontolt sõitude tegemiseks. Nagu ka Uberi kasutajatel, mõjutas sama haavatavus Uberi draiverite ja Uber Eats'i kontosid.

Kuidas võinuks Forbes 30 alla 30-aastane autasu teie Uberi kontot häkkida

Anand Prakash, AppSecure'i asutaja ja a Forbes 30 alla 30 aasta autasu, avastas, et ründajal oli võimalik haavatavust ära kasutada rakenduse programmeerimisliidese (API) taotluse kaudu. See hõlmas esmalt kasutaja suvalise unikaalse identifikaatori (UUID) omandamist, saates API-päringu, mis sisaldas kas tema telefoninumbrit või e-posti aadressi. "Kui olete API-taotlusest lekkinud Uber UUID-i," Ütles Prakash", saate taotlust korrata, kasutades ohvri Uber UUID-d, ja pääseda juurde privaatsele teabele, näiteks pääsulubale (mobiilirakendused), asukohale ja aadressile." Prakash ütleb, et mobiilirakenduste juurdepääsu tokeniga suutis ta sel viisil testikonto täielikult ohtu seada, taotleda sõite, saada makseteavet ja palju muud. A Kontseptsioonivideo tõendusmaterjali, mis näitab rünnaku metoodikat tegevuses, leiate siit.

Uber õpib mineviku vigadest

Uber sai teenitult halb ajakirjandus pärast andmerikkumist 2016. aastal, mille käigus paljastati miljonid autojuhtide ja klientide andmed. Ka ratsamatkav riietus kulutas kopsakaid 148 miljonit dollarit (120 miljonit naela) lahendada kohtuasi mille esitas USA valitsus ja umbes 50 osariiki pärast seda, kui ta ei suutnud rikkumiste üksikasju regulaatoritele täielikult avaldada. Siis hakkasid asjad Uberis paremuse poole muutuma, kui asi puudutas küberturvalisuse küsimuste enda kanda võtmist. 21. novembril 2017 ütles Uberi tegevjuht Dara Khosrowshahi: "Kuigi ma ei saa minevikku kustutada, võin iga Uberi töötaja nimel endale kohustuseks võtta, et õpime oma vigadest. Me muudame oma äritegemise viisi, pannes iga tehtud otsuse keskmesse aususe ja töötades kõvasti selle nimel, et teenida klientide usaldus. "

Uber reageerib turvaprobleemi lahendamiseks kiiresti

See, kuidas Uber reageeris sellele viimasele haavatavuse avalikustamisele, näitab, et Khosrowshahi ei maksnud ainult küberturvalisuse huvide eest. "Uber tegi pärast minu aruannet väga kiiresti haavatavuse parandamiseks," ütleb Prakash. Tõepoolest, teatades probleemist Uberile 19. aprillil HackerOne'i veahaakimisplatvormi kaudu, oli Uber paranduse rakendanud 26. aprilliks. Uber oli ka maksnud Prakashile 6500 dollarit (5275 naela) boonust, et lisada oma niigi muljetavaldavale tasude summale. Kuigi pole veel üks HackerOne häkkerid, kellest on juba saanud miljonärid, kui ta jätkab sellise kiirusega haavatavuste leidmist, on see vaid aja küsimus.

Ennetamine on parem kui ravimine

Küsisin Prakashist, mida organisatsioonid peaksid sellist haavatavuse vältimiseks tegema. "Organisatsioonid peaksid läbi viima turvalised koodide ülevaated ja avama veahaldusprogrammid, kui neil on sisejulgeoleku meeskond," ütleb Prakash, "kuid keegi ei saa veenduda, et süsteem on 100% turvaline, see on põhjus, miks minusugused inimesed on olemas, et aidata Internetti luua turvalisem koht. " Üks on kindel, et Prakash aitab Uberit turvalisemaks muuta; Praegu on ta HackerOne'i platvormil number neli Uber halastusprogramm tänu tervele hulgale nõrkadest kohtadest, mis hiljem on parandatud ja sissemaksed tasutud.

">

Avastatud on turvaauk, mis võib ründajatel võimaldada Uberi konto ohustamist ja kontrolli. Vea leidnud turbeuurija on avastanud, et seda haavatavust saab ära kasutada kasutaja asukoha jälgimiseks ja tema kontolt sõitude tegemiseks. Nagu ka Uberi kasutajatel, mõjutas sama haavatavus Uberi draiverite ja Uber Eats'i kontosid.

Kuidas võinuks Forbes 30 alla 30-aastane autasu teie Uberi kontot häkkida

AppSecure'i asutaja ja Forbes 30 alla 30 aasta autasu Anand Prakash avastas, et ründajal oli võimalik haavatavust ära kasutada rakenduse programmeerimisliidese (API) taotluse kaudu. See hõlmas esmalt kasutaja suvalise unikaalse identifikaatori (UUID) omandamist, saates API-päringu, mis sisaldas kas tema telefoninumbrit või e-posti aadressi. "Kui olete API-päringust lekkinud Uber UUID-i kasutanud," ütles Prakash, "saate taotlust korrata, kasutades ohvri Uber-i UUID-i, ja pääseda juurde privaatsele teabele, näiteks pääsulubale (mobiilirakendused), asukohale ja aadressile." Prakash ütleb, et mobiilirakenduste juurdepääsu tokeniga suutis ta sel viisil testikonto täielikult ohtu seada, taotleda sõite, saada makseteavet ja palju muud. Kontseptsioonivideo tõestuse, mis näitab rünnaku metoodikat tegevuses, leiate siit.

Uber õpib mineviku vigadest

Uber sai teenitult halva ajakirjanduse pärast 2016. aastal toimunud andmerikkumist, mille käigus paljastati miljonite autojuhtide ja klientide andmeid. Sõiduautode rõivastus kulutas ka kopsakaid 148 miljonit dollarit (120 miljonit naela) USA valitsuse ja umbes 50 osariigi algatatud kohtumenetluse lahendamiseks pärast seda, kui ta ei suutnud rikkumiste üksikasju regulaatoritele täielikult avaldada. Siis hakkasid asjad Uberis paremuse poole muutuma, kui asi puudutas küberturvalisuse küsimuste enda kanda võtmist. 21. novembril 2017 ütles Uberi tegevjuht Dara Khosrowshahi: "Kuigi ma ei saa minevikku kustutada, võin iga Uberi töötaja nimel endale kohustuseks võtta, et õpime oma vigadest. Me muudame oma äritegemise viisi, pannes iga tehtud otsuse keskmesse aususe ja töötades kõvasti selle nimel, et teenida klientide usaldus. "

Uber reageerib turvaprobleemi lahendamiseks kiiresti

See, kuidas Uber reageeris sellele viimasele haavatavuse avalikustamisele, näitab, et Khosrowshahi ei maksnud ainult küberturvalisuse huvide eest. "Uber tegi pärast minu aruannet väga kiiresti haavatavuse parandamiseks," ütleb Prakash. Tõepoolest, teatades probleemist Uberile 19. aprillil HackerOne'i veahaakimisplatvormi kaudu, oli Uber paranduse rakendanud 26. aprilliks. Uber oli ka maksnud Prakashile 6500 dollarit (5275 naela) boonust, et lisada oma niigi muljetavaldavale tasude summale. Ehkki mitte veel üks HackerOne'i häkkeritest, kes on juba miljonärideks muutunud, on ta vaid sellise aja haavatavuse leidmise jätkamisel.

Ennetamine on parem kui ravimine

Küsisin Prakashist, mida organisatsioonid peaksid sellist haavatavuse vältimiseks tegema. "Organisatsioonid peaksid läbi viima turvalised koodide ülevaated ja avama veahaldusprogrammid, kui neil on sisejulgeoleku meeskond," ütleb Prakash, "kuid keegi ei saa veenduda, et süsteem on 100% turvaline, see on põhjus, miks minusugused inimesed on olemas, et aidata Internetti luua turvalisem koht. " Üks on kindel, et Prakash aitab Uberit turvalisemaks muuta; Praegu on ta HackerOne'i platvormi Uber pearahaprogrammis number neljas, tänu tervele arvule haavatavusele, mis hiljem on parandatud ja sissemaksed tasutud.