VULNERABILIDADES DE SEGURIDAD EN LA HERRAMIENTA DE UBER CENTRAL

El experto en seguridad y hacker Kevin Roh Kevin Roh ha descubierto varias vulnerabilidades de seguridad en la herramienta de Uber Central que expone los datos del usuario

El servicio Uber Central se puso en marcha en julio, según la compañía, es un panel de control que permite a cualquier empresa solicitar, gestionar y pagar multiples viajes Uber en nombre de sus clientes.

La consola Uber Central podría ser utilizado por los empleados que pueden solicitar paseos por sus clientes. Los administradores pueden agregar fácilmente los operadores usando sólo su dirección de correo electrónico.

El primer fallo permite enumerar userUUID a través de mensajes de correo electrónico, un atacante puede enviar solicitudes con posibles direcciones de correo electrónico y si la dirección está asociada a una cuenta del servidor incluirá UUID del usuario en la respuesta.

Si la dirección de correo electrónico no es válida, la respuesta enviada por el servidor contiene un error. A continuación un ejemplo de solicitud enviada al servidor:

POST /admin/api/organizations/[organizationUUID]/operators HTTP/1.1 Host: central.uber.com Connection: close Content-Length: 40 Accept: application/json Origin: https://central.uber.com x-csrf-token: XXXX x-uber-origin: web-central-admin User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36 Content-Type: application/json Referer: https://central.uber.com/admin/locations Accept-Encoding: gzip, deflate, br Accept-Language: en-US,en;q=0.8 Cookie: _ua=XXXX {"operatorEmail":"r****@unlv.nevada.edu"}

El atacante podría escribir un script simple que trata todos los valores posibles para la 'operationEmail parámetro' y analizar todas las respuestas recibidas por el servidor para cada uno de ellos.

El segundo error es similar al primero, permite la enumeración de userUUID a través de solicitud GET en lugar de direcciones de correo electrónico.

Roh encontró un tercer defecto que podría haber sido explotado para obtener muchos más datos, incluyendo el nombre completo, números de teléfono, correos electrónicos y userUUID.

Las vulnerabilidades fueron enviadas a la compañía entre septiembre y octubre, y la empresa las parcheo con prontitud en octubre.

Uber premio al experto Roh en el marco del programa de la compañía de recompensas. El hacker recibió cientos de dólares por cada una de las vulnerabilidades, las cantidades exactas no han sido revelados.


Fecha actualización el 2016-11-27. Fecha publicación el 2016-11-27. Categoría: Hackers. Autor: Oscar olg Mapa del sitio
Uber Central