Moscow-Live.ru
Три хакер обнаружил восемь лунок в приложении Uber, позволявших создать систему фейковые аккаунты менеджеров и получить информацию о пользователях, включая адреса электронной почты и данные о поездках, сообщает The Register.
Команда хакеров Португалия — Витор Оливейра, Фабио Пирес и Филипп Реис на месте Integrity описал шесть уязвимостей, остальные хранятся в секрете до тех пор, пока их не исправить, то служба безопасности компании.
Например, Uber, любой пользователь может создать аккаунт менеджер, но он не активируется, пока компания не проверяет документы. Но хакеры нашли способ, как получить доступ к право, даже тогда, когда счет не активирован.
Обнаруженные уязвимости позволяют использовать более сложные и опасные сценарии атак, чтобы получить доступ к личной информации данные об устройстве, с которого осуществляется заказ, историям путешествие как водители и пассажиры.
Так, через раздел помощи мобильного приложения Uber получил доступ в электронном виде по адресу пользователи, эти универсальные id-номера и телефонные номера, а также информацию о водителе и пассажире, включая имя, тип и номер автомобиля, и история заказов.
Кроме того, хакеры, перебирая случайные комбинации промо-коды, получили более тысячи скидочных купонов, из которых самым ценным был промо-код на 100 долларов (срочная поездка домой, ERH), которые бы принесли дополнительную прибыль водителя.
Данные в этих дырах будет держать в секрете, пока Убер не исправил ошибки.
Напомним, 22 марта 2016 года компания Uber пообещал вознаграждение до 10 тысяч долларов за обнаружение уязвимости в программном обеспечении приложения. В 2015 году во время тест работает с трудом 200 специалистов найдено около 100 уязвимостей.
Как понять сайт SecutiryLab, что участие в программе поощрения ученым необходимо найти, по крайней мере, четыре ошибки. По словам начальника службы безопасности компании Джо Салливана, постоянный присмотр системы важно, чтобы улучшить качество программы.
Хакеры не сообщили, сколько денег они получили Убер, если плата за указанные ошибки, но похвалил компании, их скорости реакции. «Специалисты по безопасности относятся программы, очень серьезно, и пытаются решить проблемы как можно скорее», — признается хакеров.
Uber — это онлайн-сервис автомобильных перевозок, позволяющий заказать отдельное такси через сайт или мобильные приложения. Компания была основана в 2009 году. году, ее штаб-квартира находится в Сан-Франциско. Сервис Uber доступен в более чем 100 городах мира. Компания получает от работающих в ней таксистов комиссию в размере 20% от каждого вызова.
