Uber vahvistaa Forbes 30-vuotiaiden kunniamerkkien löytämän tilin haltuunoton


<div _ngcontent-c16 = "" innerhtml = "

On löydetty tietoturvahaavoitus, joka voi antaa hyökkääjien vaarantaa ja hallita mitä tahansa Uber-tiliä. Virheen löytänyt tietoturvatutkija on paljastanut, että haavoittuvuutta voidaan hyödyntää käyttäjän sijainnin seuraamiseksi ja ajojen suorittamiseksi hänen tililtä. Uber-käyttäjien lisäksi sama haavoittuvuus vaikutti Uber-ohjain- ja Uber Eats -tileihin.

Anand Prakash, AppSecuren perustaja ja Forbes 30 Alle 30 kunniamerkki, havaitsi, että hyökkääjällä oli mahdollisuus hyödyntää haavoittuvuutta sovellusohjelmointirajapinnan (API) pyynnön kautta. Tämä sisälsi ensin minkä tahansa käyttäjän käyttäjän yksilöllisen tunnisteen (UUID) hankkimisen lähettämällä sovellusliittymäpyynnön, joka sisälsi joko heidän puhelinnumeron tai sähköpostiosoitteen. "Kun olet saanut vuotanut Uber UUID -sovelluksen API-pyynnöstä," Prakash sanoi"," voit toistaa pyynnön uhrin Uber UUID: llä ja saada pääsyn yksityisiin tietoihin, kuten käyttöoikeustunnuksen (mobiilisovellukset), sijainnin ja osoitteen. " Prakash kertoo, että mobiilisovellusten käyttöoikeustunnuksella hän pystyi täysin vaarantamaan testitilin tällä tavoin, pyytämällä ajoja, saamaan maksutietoja ja paljon muuta. Todistus konseptivideosta, joka näyttää hyökkäysmenetelmän käytännössä, löytyy täältä.

Uber sai ansiokkaasti huono lehdistö vuonna 2016 tapahtuneen tietorikkomuksen jälkeen miljoonat kuljettaja- ja asiakasrekisterit paljastuivat. Ratsastava asu käytti myös mojovaan 148 miljoonaan dollariin (120 miljoonaa puntaa) ratkaise oikeustoimet nosti Yhdysvaltain hallitus ja noin 50 valtiota sen jälkeen, kun se ei ole paljastanut rikkomusten yksityiskohtia sääntelijöille. Sitten asiat alkoivat muuttua parempaan suuntaan Uberissa kyberturvallisuuteen liittyvien asioiden ottamisen suhteen. Uberin toimitusjohtaja Dara Khosrowshahi sanoi 21. marraskuuta 2017 "Vaikka en pysty poistamaan menneisyyttä, voin sitoutua jokaisen Uberin työntekijän puolesta, että opimme virheistämme. Olemme muuttaneet toimintatapaa, asettamalla rehellisyys jokaiselle tekemämme päätöksen ytimeen ja työskentelemällä ahkerasti ansaitaksemme asiakkaidemme luottamuksen. "

Tapa, jolla Uber reagoi tähän viimeisimpään haavoittuvuuden paljastamiseen, viittaa siihen, että Khosrowshahi ei maksanut vain huijauspalveluita kyberturvallisuudelle. "Uber korjasi haavoittuvuuden erittäin nopeasti raporttini jälkeen", Prakash sanoo. Itse asiassa, ilmoitettuaan asiasta Uberille HackerOne-bug-palkkiojärjestelmän kautta 19. huhtikuuta, Uber oli toteuttanut korjauksen 26. huhtikuuta mennessä. Uber oli myös maksanut Prakashille 6500 dollaria (5275 puntaa) palkkion lisätäkseen jo jo vaikuttavaan palkkionsaan. Vaikka se ei ole vielä yksi HackerOne hakkereista, joista on jo tullut miljonäärejä, jos hän löytää haavoittuvuuksia tällä nopeudella, se on vain ajan kysymys.

Kysyin Prakashilta, mitä organisaatioiden tulisi tehdä tällaisen haavoittuvuuden estämiseksi. "Organisaatioiden tulisi suorittaa suojattuja koodin tarkistuksia ja avata virhekorvausohjelmia, kun heillä on sisäinen turvallisuusryhmä", Prakash sanoo. "Mutta kukaan ei voi varmistaa, että järjestelmä on 100-prosenttisesti turvallinen, siksi minäkin kaltaiset ihmiset ovat olemassa auttamaan Internetin luomisessa. turvallisempi paikka. " Yksi asia on varma, että Prakash auttaa tekemään Uberista turvallisemman paikan; hän on tällä hetkellä sijalla neljä HackerOne-alustalla Uber palkkio-ohjelma kiitos, kun paljastui joukko haavoittuvuuksia, jotka myöhemmin korjattiin ja erät maksettiin.

">

On löydetty tietoturvahaavoitus, joka voi antaa hyökkääjien vaarantaa ja hallita mitä tahansa Uber-tiliä. Virheen löytänyt tietoturvatutkija on paljastanut, että haavoittuvuutta voidaan hyödyntää käyttäjän sijainnin seuraamiseksi ja ajojen suorittamiseksi hänen tililtä. Uber-käyttäjien lisäksi sama haavoittuvuus vaikutti Uber-ohjain- ja Uber Eats -tileihin.

AppSecuren perustaja ja Forbes 30 Alle 30 -palkinnon saanut Anand Prakash huomasi, että hyökkääjä voi käyttää hyväkseen haavoittuvuuden sovellusohjelmointirajapinnan (API) pyynnön kautta. Tämä sisälsi ensin minkä tahansa käyttäjän käyttäjän yksilöllisen tunnisteen (UUID) hankkimisen lähettämällä sovellusliittymäpyynnön, joka sisälsi joko heidän puhelinnumeron tai sähköpostiosoitteen. "Kun olet saanut vuotaneen Uber UUID -sovelluksen API-pyynnöstä," Prakash sanoi, "voit toistaa pyynnön uhrin Uber UUID: lla ja saada pääsyn yksityisiin tietoihin, kuten käyttöoikeustunnuksen (mobiilisovellukset), sijainnin ja osoitteen." Prakash kertoo, että mobiilisovellusten käyttöoikeustunnuksella hän pystyi täysin vaarantamaan testitilin tällä tavoin, pyytämällä ajoja, saamaan maksutietoja ja paljon muuta. Todiste konseptivideosta, joka näyttää hyökkäysmenetelmät toiminnassa, löytyy täältä.

Uber sai ansainnut huonon lehdistön vuonna 2016 tapahtuneen tietorikkomuksen jälkeen, jolloin miljoonat kuljettaja- ja asiakasrekisterit paljastuivat. Kilpa-asut käyttivät myös mojovaan 148 miljoonaan dollariin (120 miljoonaan puntaan) Yhdysvaltain hallituksen ja noin 50 osavaltion nostaman oikeudenkäynnin ratkaisemiseksi sen jälkeen, kun se ei paljastanut rikkomusten yksityiskohtia sääntelijöille. Sitten asiat alkoivat muuttua parempaan suuntaan Uberissa kyberturvallisuuteen liittyvien asioiden ottamisen suhteen. Uberin toimitusjohtaja Dara Khosrowshahi sanoi 21. marraskuuta 2017 "Vaikka en pysty poistamaan menneisyyttä, voin sitoutua jokaisen Uberin työntekijän puolesta, että opimme virheistämme. Olemme muuttaneet toimintatapaa, asettamalla rehellisyys jokaiselle tekemämme päätöksen ytimeen ja työskentelemällä ahkerasti ansaitaksemme asiakkaidemme luottamuksen. "

Tapa, jolla Uber reagoi tähän viimeisimpään haavoittuvuuden paljastamiseen, viittaa siihen, että Khosrowshahi ei maksanut vain huijauspalveluita kyberturvallisuudelle. "Uber korjasi haavoittuvuuden erittäin nopeasti raporttini jälkeen", Prakash sanoo. Itse asiassa, ilmoitettuaan asiasta Uberille HackerOne-bug-palkkiojärjestelmän kautta 19. huhtikuuta, Uber oli toteuttanut korjauksen 26. huhtikuuta mennessä. Uber oli myös maksanut Prakashille 6500 dollaria (5275 puntaa) palkkion lisätäkseen jo jo vaikuttavaan palkkionsaan. Vaikka hän ei ole vielä yksi miljoonista HackerOne-hakkereista, jos hän löytää haavoittuvuuksia tällä vauhdilla, se on vain ajan kysymys.

Kysyin Prakashilta, mitä organisaatioiden tulisi tehdä tällaisen haavoittuvuuden estämiseksi. "Organisaatioiden tulisi suorittaa suojattuja koodin tarkistuksia ja avata virhekorvausohjelmia, kun heillä on sisäinen turvallisuusryhmä", Prakash sanoo. "Mutta kukaan ei voi varmistaa, että järjestelmä on 100-prosenttisesti turvallinen, siksi minäkin kaltaiset ihmiset ovat olemassa auttamaan Internetin luomisessa. turvallisempi paikka. " Yksi asia on varma, että Prakash auttaa tekemään Uberista turvallisemman paikan; Hän on tällä hetkellä neljänneksi HackerOne-alustan Uber-palkkio-ohjelmassa kiitos, kun paljastetaan joukko haavoittuvuuksia, jotka on myöhemmin korjattu ja palkkiot maksettu.