Uber bevestigt beveiligingslek met betrekking tot accountovername gevonden door Forbes 30 onder 30 Honoree


<div _ngcontent-c15 = "" innerhtml = "

Er is een beveiligingsprobleem ontdekt waardoor aanvallers elk Uber-account kunnen compromitteren en beheren. De beveiligingsonderzoeker die de fout heeft ontdekt, heeft aangetoond dat het beveiligingslek kan worden misbruikt om de locatie van een gebruiker te volgen en ritten van zijn account te nemen. Evenals Uber-gebruikers, had dezelfde kwetsbaarheid ook invloed op Uber-stuurprogrammarekeningen en Uber Eats-accounts.

Hoe een Forbes 30 Under 30 honoree je Uber-account had kunnen hacken

Anand Prakash, oprichter van AppSecure en een Forbes 30 Jonger dan 30, ontdekte dat het voor een aanvaller mogelijk was het beveiligingslek te misbruiken via een API-aanvraag (Application Programming Interface). Dit hield in dat eerst de universeel unieke identificatie (UUID) van een gebruiker moest worden verkregen door een API-verzoek te verzenden met het telefoonnummer of e-mailadres. "Zodra u de gelekte Uber UUID van het API-verzoek hebt," Zei Prakash, "kunt u het verzoek opnieuw afspelen met behulp van de Uber UUID van het slachtoffer en toegang krijgen tot privé-informatie zoals toegangstoken (mobiele apps), locatie en adres." Prakash zegt dat hij met het toegangstoken voor mobiele apps op deze manier een testaccount volledig kon compromitteren, ritten kon aanvragen, betalingsinformatie kon krijgen en meer. EEN proof of concept video die de aanvalsmethodologie in actie toont, vindt u hier.

Uber leert van fouten uit het verleden

Uber kreeg terecht slechte pers na een datalek in 2016 waarbij miljoenen records van chauffeurs en klanten zichtbaar werden gemaakt. De ritafhankelijke outfit besteedde ook een flinke $ 148 miljoen (£ 120 miljoen) aan gerechtelijke stappen ondernemen ingesteld door de Amerikaanse regering en een 50-tal staten na het verzuim om de inbreukdetails volledig bekend te maken aan toezichthouders. Toen begon het in Uber ten goede te veranderen wat betreft het in eigendom nemen van cybersecurity-kwesties. Op 21 november 2017 zei Dara Khosrowshahi, CEO van Uber: "Hoewel ik het verleden niet kan wissen, kan ik namens elke Uber-medewerker beloven dat we van onze fouten zullen leren. We veranderen de manier waarop we zaken doen, integriteit centraal stellen bij elke beslissing die we nemen en hard werken om het vertrouwen van onze klanten te winnen. "

Uber reageert snel om het beveiligingsprobleem op te lossen

De manier waarop Uber op deze nieuwste openbaarmaking van kwetsbaarheden reageerde, suggereert dat Khosrowshahi niet alleen lippendienst betaalde aan cybersecurity. "Uber was erg snel in het verhelpen van de kwetsbaarheid na mijn melding", zegt Prakash. Nadat Uber het probleem op 19 april via het HackerOne bug bounty-platform had gemeld, had Uber op 26 april een fix geïmplementeerd. Uber had Prakash ook een premie van $ 6500 (£ 5275) betaald om toe te voegen aan zijn toch al indrukwekkende beloning. Hoewel nog niet een van de HackerOne hackers die al miljonair zijn geworden, als hij in dit tempo kwetsbaarheden blijft vinden, is het slechts een kwestie van tijd.

Voorkomen is beter dan genezen

Ik vroeg Prakash wat organisaties zouden moeten doen om dit soort kwetsbaarheid te voorkomen. "Organisaties moeten veilige codebeoordelingen uitvoeren en bounty-programma's voor bugs openen wanneer ze een intern beveiligingsteam hebben", zegt Prakash, "maar niemand kan ervoor zorgen dat een systeem 100% veilig is, dat is waarom mensen zoals ik bestaan ​​om te helpen internet te maken een veiliger plek. " Eén ding is zeker, Prakash helpt Uber een veiliger plek te maken; hij staat momenteel op nummer vier in het HackerOne-platform Uber premieprogramma bedankt met een hele reeks kwetsbaarheden die zijn bekendgemaakt, vervolgens zijn verholpen en premies zijn betaald.

">

Er is een beveiligingsprobleem ontdekt waardoor aanvallers elk Uber-account kunnen compromitteren en beheren. De beveiligingsonderzoeker die de fout heeft ontdekt, heeft aangetoond dat het beveiligingslek kan worden misbruikt om de locatie van een gebruiker te volgen en ritten van zijn account te nemen. Evenals Uber-gebruikers, had dezelfde kwetsbaarheid ook invloed op Uber-stuurprogrammarekeningen en Uber Eats-accounts.

Hoe een Forbes 30 Under 30 honoree je Uber-account had kunnen hacken

Anand Prakash, oprichter van AppSecure en een Forbes 30 Under 30 honoree, ontdekte dat een aanvaller het beveiligingslek kon misbruiken via een API-aanvraag (Application Programming Interface). Dit hield in dat eerst de universeel unieke identificatie (UUID) van een gebruiker moest worden verkregen door een API-verzoek te verzenden met het telefoonnummer of e-mailadres. "Zodra je de gelekte Uber-UUID uit het API-verzoek hebt," zei Prakash, "kun je het verzoek opnieuw spelen met de Uber-UUID van het slachtoffer en krijg je toegang tot privé-informatie zoals toegangstoken (mobiele apps), locatie en adres." Prakash zegt dat hij met het toegangstoken voor mobiele apps op deze manier een testaccount volledig kon compromitteren, ritten kon aanvragen, betalingsinformatie kon krijgen en meer. Een proof of concept video die de aanvalsmethodologie in actie toont, is hier te vinden.

Uber leert van fouten uit het verleden

Uber kreeg terecht een slechte pers na een datalek in 2016 waarbij miljoenen records van chauffeurs en klanten zichtbaar werden gemaakt. De ritafhankelijke uitrusting besteedde ook een flinke $ 148 miljoen (£ 120 miljoen) om juridische stappen te ondernemen die werden ingesteld door de Amerikaanse regering en ongeveer 50 staten na het verzuim om de details van de inbreuk volledig bekend te maken aan toezichthouders. Toen begon het in Uber ten goede te veranderen wat betreft het in eigendom nemen van cybersecurity-kwesties. Op 21 november 2017 zei Dara Khosrowshahi, CEO van Uber: "Hoewel ik het verleden niet kan wissen, kan ik namens elke Uber-medewerker beloven dat we van onze fouten zullen leren. We veranderen de manier waarop we zaken doen, integriteit centraal stellen bij elke beslissing die we nemen en hard werken om het vertrouwen van onze klanten te winnen. "

Uber reageert snel om het beveiligingsprobleem op te lossen

De manier waarop Uber op deze nieuwste openbaarmaking van kwetsbaarheden reageerde, suggereert dat Khosrowshahi niet alleen lippendienst betaalde aan cybersecurity. "Uber was erg snel in het verhelpen van de kwetsbaarheid na mijn melding", zegt Prakash. Nadat Uber het probleem op 19 april via het HackerOne bug bounty-platform had gemeld, had Uber op 26 april een fix geïmplementeerd. Uber had Prakash ook een premie van $ 6500 (£ 5275) betaald om toe te voegen aan zijn toch al indrukwekkende beloning. Hoewel het nog geen van de HackerOne-hackers is die al miljonair zijn geworden, is het slechts een kwestie van tijd als hij in dit tempo kwetsbaarheden blijft vinden.

Voorkomen is beter dan genezen

Ik vroeg Prakash wat organisaties zouden moeten doen om dit soort kwetsbaarheid te voorkomen. "Organisaties moeten veilige codebeoordelingen uitvoeren en bounty-programma's voor bugs openen wanneer ze een intern beveiligingsteam hebben", zegt Prakash, "maar niemand kan ervoor zorgen dat een systeem 100% veilig is, dat is waarom mensen zoals ik bestaan ​​om te helpen internet te maken een veiliger plek. " Eén ding is zeker, Prakash helpt Uber een veiliger plek te maken; hij staat momenteel op nummer vier in het Uber bounty-programma van het HackerOne-platform, dankzij een hele reeks kwetsbaarheden die zijn bekendgemaakt, vervolgens zijn verholpen en premies zijn betaald.