Moscow-Live.ru

Три хакера обнаружили восемь дыр в приложении Uber, позволявших создавать в системе фейковые аккаунты водителей и получать доступ к информации о пользователях, включая электронные адреса и данные о поездках, сообщает The Register.

Команда хакеров из Португалии - Витор Оливейра, Фабио Пирес и Филип Реис - на сайте Integrity описала шесть уязвимостей, остальные держатся в секрете до тех пор, пока их не исправит служба безопасности компании.

Например, в Uber любой пользователь может создать аккаунт водителя, но он не будет активирован, пока компания не проверит документы. Однако хакеры нашли способ получить право доступа, даже если аккаунт не был активирован.

Обнаруженные уязвимости можно было использовать для более сложных и опасных сценариев атак, получения доступа к личной информации, данных об устройстве, с которого сделан заказ, историям поездок как водителей, так и пассажиров.

Так, через раздел помощи мобильного приложения Uber был получен доступ к электронным адресам пользователей, их универсальным идентификационным номерам и номерам телефонов, а также к информации о водителе и пассажире, включая имена, тип и номер автомобиля и историю заказов.

Кроме того, хакеры, перебирая случайные комбинации промо-кодов, получили более тысячи скидочных купонов, из которых самым ценным был промо-код на 100 долларов (срочная поездка домой, ERH), которая принесла бы дополнительную прибыль водителю.

Подробности об этих дырах сохранялись в тайне, пока Uber не исправил ошибки.

Напомним, 22 марта 2016 года компания Uber пообещала награду до 10 тысяч долларов за обнаружение уязвимостей в программном обеспечении приложения. В 2015 году во время тестовых работ усилиями 200 специалистов было обнаружено около 100 уязвимостей.

Как сообщал сайт SecutiryLab, для участия в программе поощрения исследователям необходимо найти по крайней мере четыре ошибки. По словам начальника службы безопасности компании Джо Салливана, постоянный присмотр за системой важен для повышения качества программы.

Хакеры не сообщили, сколько денег они получили от Uber в качестве вознаграждения за указанные ошибки, но похвалили компанию за скорость реакции. "Специалисты по безопасности относятся к программе очень серьезно и стараются решить вопросы как можно быстрее", - признали хакеры.

Uber - это онлайн-сервис автомобильных перевозок, позволяющий заказать частное такси через сайт или мобильные приложения. Компания была основана в 2009 году, ее штаб-квартира расположена в Сан-Франциско. Услуги Uber доступны более чем в 100 городах мира. Компания получает от работающих с ней таксистов комиссию в размере 20% от каждого вызова.