Uber xác nhận lỗ hổng tiếp quản tài khoản được tìm thấy bởi Forbes 30 Dưới 30 Honoree


<div _ngcontent-c15 = "" Internalhtml = "

Một lỗ hổng bảo mật đã được phát hiện có thể cho phép kẻ tấn công thỏa hiệp và kiểm soát bất kỳ tài khoản Uber nào. Nhà nghiên cứu bảo mật đã tìm thấy lỗ hổng đã tiết lộ rằng lỗ hổng này có thể bị khai thác để theo dõi vị trí của người dùng và lấy từ tài khoản của họ. Cũng như người dùng Uber, lỗ hổng tương tự cũng ảnh hưởng đến tài khoản tài xế Uber và tài khoản Uber Eats.

Làm thế nào một người được vinh danh của Forbes 30 Dưới 30 có thể đã hack tài khoản Uber của bạn

Anand Prakash, người sáng lập AppSecure và Forbes 30 Dưới 30 được vinh danh, đã phát hiện ra rằng kẻ tấn công có thể khai thác lỗ hổng thông qua yêu cầu giao diện lập trình ứng dụng (API). Điều này liên quan đến việc đầu tiên có được số nhận dạng duy nhất toàn cầu (UUID) của bất kỳ người dùng nào bằng cách gửi yêu cầu API bao gồm số điện thoại hoặc địa chỉ email của họ. "Một khi bạn có Uber UUID bị rò rỉ từ yêu cầu API," Prakash nói, "bạn có thể phát lại yêu cầu bằng cách sử dụng nạn nhân của Uber Uber UUID và có quyền truy cập vào thông tin cá nhân như mã thông báo truy cập (ứng dụng di động), vị trí và địa chỉ." Prakash nói rằng với mã thông báo truy cập ứng dụng di động, anh ta có thể thỏa hiệp hoàn toàn tài khoản thử nghiệm theo cách này, yêu cầu di chuyển, nhận thông tin thanh toán và hơn thế nữa. Một bằng chứng của video khái niệm cho thấy phương pháp tấn công trong hành động có thể được tìm thấy ở đây.

Uber học hỏi từ những sai lầm trong quá khứ

Uber xứng đáng có báo xấu sau khi vi phạm dữ liệu vào năm 2016 đã thấy hàng triệu hồ sơ tài xế và khách hàng bị lộ. Bộ trang phục cưỡi ngựa cũng tiêu tốn 148 triệu đô la (120 triệu đồng) để giải quyết hành động pháp lý được chính phủ Hoa Kỳ và khoảng 50 tiểu bang đưa ra sau khi không tiết lộ đầy đủ các chi tiết vi phạm cho các cơ quan quản lý. Sau đó, mọi thứ bắt đầu thay đổi để tốt hơn tại Uber khi liên quan đến quyền sở hữu các vấn đề an ninh mạng. Vào ngày 21 tháng 11 năm 2017, Dara Khosrowshahi, Giám đốc điều hành của Uber, cho biết "Trong khi tôi không thể xóa bỏ quá khứ, tôi có thể cam kết thay mặt mọi nhân viên Uber rằng chúng tôi sẽ học hỏi từ những sai lầm của mình. Chúng tôi đang thay đổi cách kinh doanh, đặt sự chính trực vào cốt lõi của mọi quyết định chúng tôi đưa ra và làm việc chăm chỉ để có được sự tin tưởng của khách hàng. "

Uber phản ứng nhanh chóng để khắc phục vấn đề bảo mật

Cách mà Uber phản ứng với tiết lộ lỗ hổng mới nhất này cho thấy Khosrowshahi không chỉ trả tiền dịch vụ môi cho an ninh mạng. "Uber đã rất nhanh chóng trong việc khắc phục lỗ hổng sau báo cáo của tôi", Prakash nói. Thật vậy, khi đã báo cáo vấn đề với Uber thông qua nền tảng tiền thưởng lỗi HackerOne vào ngày 19 tháng 4, Uber đã thực hiện sửa lỗi vào ngày 26 tháng Tư. Uber cũng đã trả cho Prakash khoản tiền thưởng $ 6500 (£ 5275) để thêm vào phần thưởng đã rất ấn tượng của anh ấy. Trong khi chưa phải là một trong những HackerOne tin tặc đã trở thành triệu phú, nếu anh ta tiếp tục tìm kiếm lỗ hổng ở tốc độ này, đó chỉ là vấn đề thời gian.

Phòng bệnh hơn chữa bệnh

Tôi đã hỏi Prakash những tổ chức nên làm gì để ngăn chặn loại lỗ hổng này. "Các tổ chức nên thực hiện đánh giá mã an toàn và mở các chương trình tiền thưởng lỗi khi họ có một nhóm bảo mật nội bộ", Prakash nói, "nhưng không ai có thể chắc chắn rằng một hệ thống an toàn 100%, đó là lý do tại sao những người như tôi tồn tại để giúp tạo ra internet một nơi an toàn hơn. " Một điều chắc chắn, Prakash đang giúp biến Uber thành một nơi an toàn hơn; ông hiện đang xếp thứ tư trong nền tảng HackerOne Chương trình tiền thưởng Uber cảm ơn với một loạt các lỗ hổng được tiết lộ, sau đó đã được sửa chữa và tiền thưởng được trả.

">

Một lỗ hổng bảo mật đã được phát hiện có thể cho phép kẻ tấn công thỏa hiệp và kiểm soát bất kỳ tài khoản Uber nào. Nhà nghiên cứu bảo mật đã tìm thấy lỗ hổng đã tiết lộ rằng lỗ hổng này có thể bị khai thác để theo dõi vị trí của người dùng và lấy từ tài khoản của họ. Cũng như người dùng Uber, lỗ hổng tương tự cũng ảnh hưởng đến tài khoản tài xế Uber và tài khoản Uber Eats.

Làm thế nào một người được vinh danh của Forbes 30 Dưới 30 có thể đã hack tài khoản Uber của bạn

Anand Prakash, người sáng lập AppSecure và được vinh danh Forbes 30 Under 30, phát hiện ra rằng kẻ tấn công có thể khai thác lỗ hổng thông qua yêu cầu giao diện lập trình ứng dụng (API). Điều này liên quan đến việc đầu tiên có được số nhận dạng duy nhất toàn cầu (UUID) của bất kỳ người dùng nào bằng cách gửi yêu cầu API bao gồm số điện thoại hoặc địa chỉ email của họ. "Một khi bạn có Uber UUID bị rò rỉ từ yêu cầu API", Prakash nói, "bạn có thể phát lại yêu cầu bằng cách sử dụng nạn nhân của Uber Uber UUID và truy cập vào thông tin cá nhân như mã thông báo truy cập (ứng dụng di động), địa điểm và địa chỉ." Prakash nói rằng với mã thông báo truy cập ứng dụng di động, anh ta có thể thỏa hiệp hoàn toàn tài khoản thử nghiệm theo cách này, yêu cầu di chuyển, nhận thông tin thanh toán và hơn thế nữa. Một bằng chứng về video khái niệm cho thấy phương pháp tấn công trong hành động có thể được tìm thấy ở đây.

Uber học hỏi từ những sai lầm trong quá khứ

Uber xứng đáng bị báo chí xấu sau vụ vi phạm dữ liệu vào năm 2016 khi thấy hàng triệu hồ sơ tài xế và khách hàng bị lộ. Bộ trang phục cưỡi ngựa cũng đã chi 148 triệu đô la (120 triệu bảng Anh) để giải quyết hành động pháp lý do chính phủ Hoa Kỳ và khoảng 50 tiểu bang sau khi không tiết lộ đầy đủ các chi tiết vi phạm cho các cơ quan quản lý. Sau đó, mọi thứ bắt đầu thay đổi để tốt hơn tại Uber khi liên quan đến quyền sở hữu các vấn đề an ninh mạng. Vào ngày 21 tháng 11 năm 2017, Dara Khosrowshahi, Giám đốc điều hành của Uber, cho biết "Trong khi tôi không thể xóa bỏ quá khứ, tôi có thể cam kết thay mặt mọi nhân viên Uber rằng chúng tôi sẽ học hỏi từ những sai lầm của mình. Chúng tôi đang thay đổi cách kinh doanh, đặt sự chính trực vào cốt lõi của mọi quyết định chúng tôi đưa ra và làm việc chăm chỉ để có được sự tin tưởng của khách hàng. "

Uber phản ứng nhanh chóng để khắc phục vấn đề bảo mật

Cách mà Uber phản ứng với tiết lộ lỗ hổng mới nhất này cho thấy Khosrowshahi không chỉ trả tiền dịch vụ môi cho an ninh mạng. "Uber đã rất nhanh chóng trong việc khắc phục lỗ hổng sau báo cáo của tôi", Prakash nói. Thật vậy, khi báo cáo vấn đề với Uber thông qua nền tảng tiền thưởng lỗi HackerOne vào ngày 19 tháng 4, Uber đã thực hiện sửa lỗi vào ngày 26 tháng Tư. Uber cũng đã trả cho Prakash số tiền thưởng là 6500 đô la (£ 5275) để thêm vào phần thưởng đã rất ấn tượng của anh ấy. Mặc dù chưa phải là một trong những tin tặc HackerOne đã trở thành triệu phú, nhưng nếu anh ta tiếp tục tìm ra lỗ hổng ở tốc độ này, thì đó chỉ là vấn đề thời gian.

Phòng bệnh hơn chữa bệnh

Tôi đã hỏi Prakash những tổ chức nên làm gì để ngăn chặn loại lỗ hổng này. "Các tổ chức nên thực hiện đánh giá mã an toàn và mở các chương trình tiền thưởng lỗi khi họ có một nhóm bảo mật nội bộ", Prakash nói, "nhưng không ai có thể chắc chắn rằng một hệ thống an toàn 100%, đó là lý do tại sao những người như tôi tồn tại để giúp tạo ra internet một nơi an toàn hơn. " Một điều chắc chắn, Prakash đang giúp biến Uber thành một nơi an toàn hơn; ông hiện đang xếp thứ tư trong chương trình tiền thưởng Uber trên nền tảng HackerOne nhờ toàn bộ các lỗ hổng được tiết lộ, sau đó đã được sửa chữa và tiền thưởng được trả.