安全专家Kevin Roh发现Uber的UberCENTRAL工具中存在多个安全漏洞,会暴露用户数据。
UberCENTRAL服务于7月推出,可以帮助企业(如酒店)为自己的顾客(或客户)分别预订、支付驾乘。UberCENTRAL 控制台可以由操作员(即雇员)使用,管理员仅使用电子邮件地址就可以添加操作员。
UberCENTRAL中存在的第一个漏洞允许通过电子邮件枚举用户UUID(Universally Unique Identifier,通用唯一识别码),攻击者可以使用可能的电子邮件地址发送请求,如果该地址与账户相关联,服务器将在响应中包含用户的UUID。
如果该电子邮件不可用,服务器发送的响应将包含错误。
以下是发送到服务器的请求示例:
POST/admin/api/organizations/[organizationUUID]/operators HTTP/1.1 Host:central.uber.com Connection: close Content-Length: 40 Accept: application/jsonOrigin: https://central.uber.com x-csrf-token: XXXX x-uber-origin:web-central-admin User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6)AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36Content-Type: application/json Referer:https://central.uber.com/admin/locations Accept-Encoding: gzip, deflate, brAccept-Language: en-US,en;q=0.8 Cookie: _ua=XXXX{"operatorEmail":"r****@unlv.nevada.edu"
攻击者可以编写一个简单的脚本测试 ‘operationEmail‘ 参数所有可能的值,并分析服务器的每个响应。
第二个漏洞与第一漏洞类似,它允许攻击者通过GET请求而非电子邮件枚举用户的UUID。
第三个漏洞可以被用于获取更多数据,包括全名、手机号码、电子邮件和用户UUID。
以上这些漏洞于9月到10月期间已上报给Uber公司,Uber已于10月份迅速发布了补丁。
此外Roh还获得了Uber的漏洞赏金计划奖金。确切金额没有透露,但每个漏洞至少有上百美元的奖励。