Moscow-Live.ru
Три хакера нашли восемь отверстий в убер приложение, которое позволяет создавать поддельные аккаунты и водителям доступ к информации о пользователях, включая адреса электронной почты и сведения о поездках, отчеты в Реестр.
Команда хакеров из Португалии Витор Оливейра, Фабио Пиреш и Филипп рейс — на сайте целостности описал шесть уязвимостей, остальное держится в секрете до тех пор, пока служба безопасности компании.
Например, убер, любой пользователь может создать учетную запись драйвера, но это не будет активирован до тех пор, пока компания будет проверять документы. Тем не менее, хакеры нашли способ, чтобы получить доступ, даже если учетная запись не была активирована.
Обнаруженные уязвимости могут быть использованы для более сложных сценариев угроз и атак, получая доступ к личной информации, сведения об устройстве, с которого был сделан заказ, истории путешествий как для водителей, так и пассажиров.
Так, через мобильное приложение uber получил доступ к электронным адресам пользователей, их универсальных идентификационных номеров и телефоны, а также сведения о водителя и пассажира, включая имя, Тип и номер автомобиля, и история заказов.
Кроме того, хакеры, мастурбация случайную комбинацию промо-коды, полученные за тысячи скидочных купонов, из которых самым ценным был промо-код на $ 100 (скорая домой, ЭР), который будет приносить дополнительную прибыль водителя.
Детали эти отверстия держалось в секрете, пока убер не исправить ошибку.
Напомним, 22 марта 2016 года, компания убер пообещала награду в 10 тысяч долларов за обнаружение уязвимостей в приложениях. В 2015 году на испытаниях в процессе работы 200 специалистов было обнаружено около 100 уязвимостей.
Как сообщает сайт SecutiryLab, принять участие в мотивационной программе для исследователей должны найти как минимум четыре ошибки. По словам начальника отдела безопасности Джо Салливан, постоянный контроль системы важна для повышения качества программы.
Хакеры не сообщили, сколько денег они получили от убер в качестве награды за эти ошибки, но хвалили компанию за быстроту реакции. «Специалисты по безопасности, применимые к программе очень серьезно и стараемся как можно быстрее решить вопросы», — признался хакеров.
Uber-это онлайн-сервис автомобильных перевозок, позволяющий заказать частное такси через сайт или мобильное приложение. Компания была основана в 2009 году, ее штаб-квартира находится в Сан-Франциско. Услуги uber доступны в более чем 100 городах мира. Компания получает от работающих в ней таксистов комиссию в размере 20% от каждого вызова.
