Η Uber διόρθωσε ένα σοβαρό ελάττωμα που επέτρεψε στους hackers να καλούν διαδρομές αλλά και να χρεώνουν με διάφορες άλλες αγορές τους λογαριασμούς πελατών, χρησιμοποιώντας τη διεύθυνση ηλεκτρονικού ταχυδρομείου ή τον αριθμό τηλεφώνου του θύματος.
Το σφάλμα, το οποίο ανακαλύφθηκε από τον Anand Prakesh, ερευνητή ασφαλείας, θα μπορούσε επίσης να χρησιμοποιηθεί για την παρακολούθηση της τοποθεσίας του χρήστη.
Ο Prakesh μπόρεσε να αποκτήσει πρόσβαση στο μοναδικό αναγνωριστικό χρήστη ενός λογαριασμού ή στο “access token”, παρέχοντας έναν αριθμό τηλεφώνου ή μια διεύθυνση ηλεκτρονικού ταχυδρομείου που σχετίζεται με ένα λογαριασμό στο API του Uber.
Τα API αποστέλλουν πληροφορίες από την Uber σε προγραμματιστές εφαρμογών, συνήθως για να διασφαλίσουν ότι οι εφαρμογές τους συνεργάζονται με το Uber, όπως το Google Maps, το οποίο σας επιτρέπει να καλέσετε μια διαδρομή από την ακριβής τοποθεσία που βρίσκεστε.
Η εταιρεία αντάμειψε με $ 6,500 τον ερευνητή ασφαλείας στα πλαίσια του προγράμματος Bug Bounty. Γενικά, η Uber πληρώνει έως και 50.000 δολάρια για νέους εντοπισμούς ευπαθειών. Το σφάλμα διορθώθηκε λίγες μόλις ημέρες μετά την κοινοποίησή του.
Ένας εκπρόσωπος της Uber ισχυρίστηκε ότι το ελάττωμα δεν έγινε exploit από hackers. Eπιπλέον, τόνισε ότι η Uber διαθέτει αυτοματοποιημένη προστασία που εντοπίζει την ύποπτη δραστηριότητα, όπως μια σύνδεση από μια νέα συσκευή, και θα προειδοποιήσει έναν χρήστη είτε ζητώντας του να επιβεβαιώσει τη δραστηριότητα είτε να κάνει reset τα διαπιστευτήριά του.
Το πρόγραμμα Bounty bug της Uber έχει καταβάλει πάνω από 2 εκατομμύρια δολάρια σε περισσότερους από 600 ερευνητές σε όλο τον κόσμο που συμβάλλουν στην προστασία της πλατφόρμας.
Η hijacking accounts μέθοδος είχε, επίσης, χρησιμοποιηθεί για την κατάρρευση του Facebook από hackers τον Οκτώβριο του 2018.
Χρησιμοποιώντας μια παρόμοια μέθοδο κλοπής “access tokens” μπόρεσαν να θέσουν σε κίνδυνο 30 εκατομμύρια λογαριασμούς στο Facebook. Δεν είναι σαφές ποιος ενορχήστρωσε την επίθεση. Το Ομοσπονδιακό Γραφείο Διερεύνησης ξεκίνησε έρευνα τον Οκτώβριο.
Η Uber, η οποία σήμερα ανέρχεται σε περίπου 57 δισεκατομμύρια δολάρια, λειτουργεί σε 785 πόλεις σε όλο τον κόσμο.
