优步支付6,500美元用于破解印度研究员发现的Bug

Uber修复了由印度网络安全研究员发现的黑客攻击

纳斯达克上市的乘客巨头优步最近修复了印度网络安全研究员Anand Prakash发现的一个黑客攻击漏洞并向他支付了6,500美元的赏金。普拉卡什告诉Inc42,该漏洞允许黑客登录任何人的优步账户。

在得到Uber的许可后,披露了责任披露政策下的漏洞,Prakash解释说,该漏洞是优步的一个帐户超越漏洞,允许攻击者超越任何其他用户的Uber帐户,包括合作伙伴和Uber Eats用户的帐户。该错误在API请求中提供了用户UUID,并在对劫持帐户的响应中使用泄露的令牌。

究竟发生了什么?

Prakash解释说,他的团队能够通过在另一个API请求中提供他们的电话号码或电子邮件地址来枚举其他优步用户的UUID。 API将优步信息从优步发送给应用开发者,通常是为了确保其他应用(如Google地图)与优步合作。

网络安全研究员还告诉我们,这是因为端点上缺少授权,导致其他用户通过提供用户ID访问Uber移动应用程序令牌。他补充说,解决方案是授权该请求。

该漏洞于4月19日向优步报告,之后于4月25日进行了分类并于4月26日进行了分类。在App Secure工作,Prakash要求在6月份公开披露,然后优步在9月9日披露了漏洞报告。

Uber的一位发言人告诉Inc42,“这个漏洞很快通过Uber的bug赏金计划来解决,该计划已向全球600多名研究人员(包括印度的顶尖研究人员)支付了200多万美元。我们感谢他们为帮助保护优步平台做出的贡献。“

增加安全问题

在数据安全的日子和时代,Facebook等技术巨头花费了数十亿美元,安全漏洞事件并没有停止。

今年8月,位于Chennai的安全研究员Laxman Muthiyah在Facebook拥有的Instagram中发现了一个错误,允许任何人破解流行的照片共享社交网络服务。在报道Instagram中类似的漏洞后,这一启示发布仅仅一个月。

2019年7月,来自荷兰的在线招聘人员Michel Rijnders发现了一个安全漏洞,允许用户在没有任何许可,链接或关联的情况下在公司的官方LinkedIn页面上发布职位空缺。然后,这些帖子将显示在公司的“工作”页面上,以及公司自己发布的其他职位空缺。

在2019年5月,报告显示Truecaller的用户数据库正在暗网上出售。涉嫌泄露的数据库包括一些Truecaller用户的姓名,电话号码和电子邮件地址,海报声称这些用户是通过数据泄露获得的。

资讯来源:由0x资讯编译自INC42。版权归作者Bhumika Khatri所有,未经许可,不得转载
提示:投资有风险,入市需谨慎,本资讯不作为投资理财建议。请理性投资,切实提高风险防范意识;如有发现的违法犯罪线索,可积极向有关部门举报反映。
你可能还喜欢