"1"

На сторінках свого блогу незалежний індійський дослідник Ананд Пракаш розповів про цікавий баг в додатку Uber. Проблема дозволяла користуватися послугами сервісу абсолютно безкоштовно і, за словами дослідника, працювала як в США, так і в Індії.

Пракаш пояснює, що все починається відразу після завантаження програми, коли користувач повинен вибрати спосіб оплати, прив’язавши до акаунту банківську карту або вибравши оплату готівкою. Пракаш виявив, що можна створити обліковий запис і встановити для нього некоректний спосіб оплати, після чого всі поїздки стануть безкоштовними.

Експлоїт, використаний Пракашем, можна побачити нижче. Вся справа в підміні ID способу оплати (payment_method_id) в запиті на хаотичне нагромадження символів, в даному випадку – «xyz».

POST /api/dial/v2/requests HTTP/1.1

Host: dial.uber.com

{«Start_latitude»:12.925151699999999,»start_longitude»:77.6657536,

«Product_id»:»db6779d6-d8da-479f-8ac7-8068f4dade6f»,»payment_method_id»: »xyz»}

Також дослідник продемонстрував proof-of-concept атаки на відео.

Пракаш повідомив про проблему розробникам Uber, скориставшись bug bounty програмою компанії на HackerOne. На даний момент проблема вже усунена. За інформацією видання TechCrunch, вразливість принесла досліднику винагороду в розмірі $5000.

Вам також цікаво буде дізнатися про те, що «розумні» м’які іграшки злили дані 800 тисяч користувачів.

Коментарі закрито.

Поділитися

Xiaomi представила робота-пилососа Mi Robot Cleaner

Рисоварка, викрутки, очищувачі води і повітря, розумні лампи, системи відеоспостереження … Чого ще не вистачає в асортименті молодого китайського бренду Xiaomi? Схоже, що «розумного» робота-пилососа. Компанія із задоволенням представила свою новинку. Знайомтеся, MIJIA Robot Cleaner Mi Robot – робот-пилосос, який позбавить вас від необхідності щодня прибирати квартиру і стежити за чистотою. Таку довгу назву гаджет […]

ФБР готова взламувати iPhone за запитом влади

Подібного варто було очікувати. Як тільки ФБР взломало свій перший iPhone, вони не змогли зупинитися. І тепер хочуть робити це знову і знову. Наприклад, вже погодилися допомогти владі Арканзасу розблокувати iPhone 6 і iPad, які виступають доказами у справі про вбивство. Поки ніхто не знає, яким чином доблесні ФБРовці це роблять, але для Apple це вже […]

Американська телеком-компанія Sprint придбала 33% стрімінгового сервісу Tidal

Американська телекомунікаційна компанія Sprint придбала 33% музичного стрімінгового сервісу Tidal, створеного репером Джей Зі. Про це повідомляє The Verge. У прес-релізі компанії Sprint назвала цю угоду «безпрецедентним партнерством», завдяки якому близько 50 млн абонентів отримають «безлімітний доступ до унікального контенту». Повідомляється, що переговори про покупку велися з квітня 2015 року. Обидві компанії заявили, що скоро […]