کشف آسیب‌پذیری در خدمات شرکت اوبر

۱یک محقق امنیتی می‌گوید چندین آسیب‌پذیری را در یکی از سرویس‌های شرکت اوبر شناسایی کرده‌ است. اشکال مذکور که در خدمات UberCENTRAL‌ کشف شده، توسط اوبر برطرف شده و این شرکت به متخصصی که اشکال مذکور را شناسایی کرده پاداش داده است.

در اواخر ماه جولای شرکت اوبر خدمات UberCENTRAL را راه‌اندازی کرد. این سرویس به شرکت‌های مختلف امکان می‌داد هزینه کرایه را برای مشتریان خود بپردازند. یک مدیر در خدمات UberCENTRTAL‌ می‌تواند اپراتورهایی را با استفاده از آدرس‌های رایانامه اضافه کند. این اپراتورها سفارش‌های جابه‌جایی را برای مشتریان ثبت می‌کنند.

متخصص امنیتی کوین راه۱ می‌گوید: «از آنجا که در برنامه پاداش در اشکال شرکت اوبر به‌طور صریح از اشکالات شمارش۲ نام برده شده بود، تصمیم گرفتم وجود این نوع آسیب‌پذیری را در خدمات UberCENTRAL بررسی کنم.»
اوبر به‌طور خاص به کشف آسیب‌پذیری‌هایی علاقه‌مند است که برای شمارش شناسه‌های منحصربه‌فرد جهانی کاربران (UUID) از طریق شماره تماس و یا رایانامه استفاده می‌شوند. بدین‌ترتیب زمینه حملات IDOR۳ فراهم می‌شود.

یکی از آسیب‌پذیری‌هایی که توسط متخصص امنیتی کوین راه کشف شد به مهاجمان امکان می‌داد با ارسال درخواست‌هایی به رایانامه‌های ممکن، شناسه‌های UUID کاربران را بشمارند. اگر رایانامه مذکور مربوط به یک حساب‌کاربری باشد، پاسخ کارگزار شامل UUID کاربر خواهد بود.
دومین آسیب‌پذیری کشف شده توسط این متخصص مشابه با مورد اول بود، اما سومین آسیب‌پذیری نه‌تنها UUID بلکه نام، شماره تماس و آدرس رایانامه را نیز در اختیار مهاجم قرار می‌دهد.

این متخصص امنیتی می‌گوید اشکال‌های کشف شده را در ماه‌های سپتامبر و اکتبر به اوبر گزارش کرده است. این شرکت نیز آسیب‌پذیری‌های مذکور را در ماه اکتبر وصله کرده است. اوبر می‌گوید برای کشف این آسیب‌پذیری به کوین راه پاداش داده است اما درباره میزان این پاداش اطلاعی نداده است. گفته می‌شود کوین راه یکی از نفوذگران برتر در برنامه کشف اشکال شرکت اوبر بوده است.

اوبر می‌گوید در برنامه کشف آسیب‌پذیری خود بیش از ۷۰۰ هزار دلار را به متخصصان امنیتی پرداخته است. «برای هر اشکال به‌طور متوسط بین ۷۵۰ تا ۱۰۰۰ دلار پرداخت شده است.» تابستان گذشته یک محقق امنیتی موفق شد یک آسیب‌پذیری حیاتی را در افزونه وردپرس که در وبگاه اوبر استفاده شده بود کشف کرده و ۱۰ هزار دلار پاداش دریافت کند.
گفته می‌شود در مجموع ۱۴ اشکال مختلف به شرکت اوبر گزارش شده است. کارشناسان امنیتی می‌گویند یکی از این آسیب‌پذیری‌ها به مهاجمان امکان دسترسی به اطلاعات رانندگان و همچنین مسافران را می‌داده است.

۱. Kevin Roh
۲. Enumeration issue
۳. insecure direct object reference

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

LinkedInFacebookTwitter