優步支付6,500美元用於破解印度研究員發現的Bug

納斯達克上市的乘客巨頭優步最近修復了印度網路安全研究員Anand Prakash發現的一個黑客攻擊漏洞並向他支付了6,500美元的賞金。普拉卡什告訴Inc42，該漏洞允許黑客登錄任何人的優步賬戶。

在得到Uber的許可後，披露了責任披露政策下的漏洞，Prakash解釋說，該漏洞是優步的一個帳戶超越漏洞，允許攻擊者超越任何其他用戶的Uber帳戶，包括合作夥伴和Uber Eats用戶的帳戶。該錯誤在API請求中提供了用戶UUID，並在對劫持帳戶的響應中使用泄露的令牌。

究竟發生了什麼？

Prakash解釋說，他的團隊能夠通過在另一個API請求中提供他們的電話號碼或電子郵件地址來枚舉其他優步用戶的UUID。 API將優步信息從優步發送給應用開發者，通常是為了確保其他應用（如Google地圖）與優步合作。

網路安全研究員還告訴我們，這是因為端點上缺少授權，導致其他用戶通過提供用戶ID訪問Uber移動應用程序令牌。他補充說，解決方案是授權該請求。

該漏洞於4月19日向優步報告，之後於4月25日進行了分類並於4月26日進行了分類。在App Secure工作，Prakash要求在6月份公開披露，然後優步在9月9日披露了漏洞報告。

Uber的一位發言人告訴Inc42，「這個漏洞很快通過Uber的bug賞金計劃來解決，該計劃已向全球600多名研究人員（包括印度的頂尖研究人員）支付了200多萬美元。我們感謝他們為幫助保護優步平台做出的貢獻。「

增加安全問題

在數據安全的日子和時代，Facebook等技術巨頭花費了數十億美元，安全漏洞事件並沒有停止。

今年8月，位於Chennai的安全研究員Laxman Muthiyah在Facebook擁有的Instagram中發現了一個錯誤，允許任何人破解流行的照片共享社交網路服務。在報道Instagram中類似的漏洞後，這一啟示發布僅僅一個月。

2019年7月，來自荷蘭的在線招聘人員Michel Rijnders發現了一個安全漏洞，允許用戶在沒有任何許可，鏈接或關聯的情況下在公司的官方LinkedIn頁面上發布職位空缺。然後，這些帖子將顯示在公司的「工作」頁面上，以及公司自己發布的其他職位空缺。

在2019年5月，報告顯示Truecaller的用戶資料庫正在暗網上出售。涉嫌泄露的資料庫包括一些Truecaller用戶的姓名，電話號碼和電子郵件地址，海報聲稱這些用戶是通過數據泄露獲得的。