?
去年8月,來自印度班加羅爾的Anand Prakash率先發現了該漏洞,并將其告知Uber公司。Uber公司在獲悉該情況后,立即組織安全專家在美國和印度兩地對該漏洞展開測試。測試結果正如預期:利用該漏洞,Prakash成功在兩地免費使用了Uber乘車服務。由于應急響應及時,Uber公司最終在發現問題的同一天成功修復了該安全漏洞。
演示視頻
除了公布這一漏洞外,Prakash還發布了一個視頻,演示了如何利用Uber漏洞進行免費乘車服務的過程,具體操作方式如下:
Prakash發現該問題與用戶在Uber.com上建立賬戶選擇支付方式有關。一般來說,用戶需要在Uber.com上創建賬戶,隨后進行打車服務。當乘車服務結束的時候,用戶需要選擇支付方式,用戶既可以選擇使用現金進行支付,也可以用信用卡或借記卡來付賬。
但是,研究人員發現,如果用戶設定一個無效的支付方式,就可以免費搭乘Uber。他解釋稱,該漏洞存在于發往dial.uber.com的一個POST請求上。為了利用該漏洞,用戶只需要在接到“payment_method_id”請求時簡單地輸入一個無效的值即可,例如:
{"start_latitude":12.925151699999999,"start_longitude":77.6657536,
"product_id":"db6779d6-d8da-479f-8ac7-8068f4dade6f","payment_method_id":"xyz"}據悉,此次Anand Prakash在發現漏洞后是通過Uber公司發布在HackerOne平臺上的“漏洞賞金”項目告知對方,并因此獲得5000美元獎勵。
其實,HackerOne漏洞懸賞平臺自成立以來,已經接受了很多企業的漏洞懸賞項目,與Uber一樣,這些企業(如Twitter、Souq.com、Yahoo!以及Slack等)不惜重金設置了“漏洞賞金”項目,目的就是鼓勵黑客尋找并報告自家軟件上的安全漏洞,從而加強產品的安全性能。在Uber公司發布的“漏洞懸賞”項目中,根據所發現漏洞安全嚴重程度以及受影響用戶的規模,黑客可以得到Uber公司提供的100美元—10000美元數額不等的獎勵。
Uber公司一位發言人對此表示:
Uber設置的‘漏洞賞金’項目,旨在與全球安全研究人員共同修復安全漏洞,即使這些漏洞沒有直接影響到我們的客戶。我們特別感謝Anand Prakash此次的貢獻,對他提交的漏洞報告,我們樂于對其進行獎勵。
根據最新統計顯示,Prakash在HackerOne“賞金獵人”排行榜中排名第29,但是在Uber的“漏洞懸賞”項目排名中位居第14位。據悉,除Uber外,Prakash還經常向Twitter、雅虎等其他公司提交漏洞報告,其中在Twitter的“漏洞懸賞”項目中排名第三。?
)
)
)
)
)
