"1"

На сторінках свого блогу незалежний індійський дослідник Ананд Пракаш розповів про цікавий баг в додатку Uber. Проблема дозволяла користуватися послугами сервісу абсолютно безкоштовно і, за словами дослідника, працювала як в США, так і в Індії.

Пракаш пояснює, що все починається відразу після завантаження програми, коли користувач повинен вибрати спосіб оплати, прив’язавши до акаунту банківську карту або вибравши оплату готівкою. Пракаш виявив, що можна створити обліковий запис і встановити для нього некоректний спосіб оплати, після чого всі поїздки стануть безкоштовними.

Експлоїт, використаний Пракашем, можна побачити нижче. Вся справа в підміні ID способу оплати (payment_method_id) в запиті на хаотичне нагромадження символів, в даному випадку – «xyz».

POST /api/dial/v2/requests HTTP/1.1

Host: dial.uber.com

{«Start_latitude»:12.925151699999999,»start_longitude»:77.6657536,

«Product_id»:»db6779d6-d8da-479f-8ac7-8068f4dade6f»,»payment_method_id»: »xyz»}

Також дослідник продемонстрував proof-of-concept атаки на відео.

Пракаш повідомив про проблему розробникам Uber, скориставшись bug bounty програмою компанії на HackerOne. На даний момент проблема вже усунена. За інформацією видання TechCrunch, вразливість принесла досліднику винагороду в розмірі $5000.

Вам також цікаво буде дізнатися про те, що «розумні» м’які іграшки злили дані 800 тисяч користувачів.

Коментарі закрито.

Поділитися

Китай вимагає трансфер технологій в обмін на доступ до місцевого ринку

Новий закон, який дозволяє спільним підприємствам запускати виробництво в Китаї тільки після того, як вони повністю освоять необхідні технології. Зарубіжні інвестори побоюються, що таким чином КНР хоче отримати доступ до секретних технологій. Відповідно до прийнятого закону, спільні підприємства в Китаї зобов’язані демонструвати повне володіння технологіями інноваційних електромобілів. Тільки після цього компанії отримають дозвіл на запуск […]

У Lenovo розчаровані результатами покупки Motorola

Придбання Motorola не виправдало очікувань Lenovo, йдеться в черговому квартальному звіті компанії перед акціонерами. У документі зазначається, що інтеграція Motorola в структуру нової материнської комапнії пройшла не дуже успішно, а зміцнити позиції на ринку Північної Америки, на що розраховували в Lenovo, не вдалося. Крім того, після придбання Motorola в Lenovo ставили за мету закріпитися на […]

Шахраї використовують підроблений Tor браузер, заманюючи користувачів до фальшивого даркнету

На минулому тижні дослідники Bleeping Computer виявили незвичайну шахрайську схему. Невідомі зловмисники створили підробку під Tor браузер, яку поширюють серед довірливих користувачів, нібито допомагаючи їм отримати доступ до підпільних торгових майданчиків «вивороту інтернету». Шкідливий додаток, що копіює Tor, носить ім’я Rodeo Browser і розповсюджується за допомогою роликів на YouTube. Такі відео вчать недосвідчених користувачів, як […]