Whitehats brute-forcer sig til rabat-koder hos Uber

27. juni 2016 kl. 14:494
Tre hackere har fundet en stribe huller hos kørselstjenesten Uber, som har udbetalt flere dusører i den forbindelse.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Konsulenter fra portugisiske Integrity har hacket løs på Uber-koden og fundet otte sikkerhedshuller. Det er foregået whitehat-style, det vil sige, Uber er blevet varskoet om hullerne, som enten er blevet patchede eller er ved at blive det.

Britiske The Register er faldet over et blogindlæg, hvor de tre hackere, Vitor Oliveira, Fábio Pires og Filipe Reis, beskriver i detaljer, hvordan de har fundet frem til flere af hullerne.

Her fortæller de også, at det har været forbindelse med i Ubers dusør-program, at de er gået på jagt efter sikkerhedshuller hos tjenesten.

Fire af hullerne har indtil nu udløst en dusør, mens hackerne stadig afventer Ubers bedømmelse af fire andre sikkerhedshuller.

Artiklen fortsætter efter annoncen

Det ene af hullerne, der nu er patched, har gjort det muligt at brute-force sig til rabatkoder hos Uber.

I betalingsdelen for riders.uber.com fangede de tre hackere et request i forbindelse med indtastningen af en rabat-kode. Her fandt de ud af, at der ikke var nogen beskyttelse i forhold til brute-force-angreb på koderne. Altså hvor mange koder bliver afprøvet for at finde en, der fungerer.

Via brute-force-metoden er det ifølge blogindlægget lykkedes hackerne at finde mere end 1.000 gyldige koder.

Hackernes råd

Det portugisiske hackerhold fortæller også om, hvordan et hul, der har gjort dem i stand til at tilgå andre brugeres e-mail i Uber. Og så beskriver hackerne, hvor de har fået adgang til informationer om andre brugeres ture.

Artiklen fortsætter efter annoncen

Flere gange under sikkerhedstesten af Uber-tjenesten har hackerne fået deres konti hos tjeneste spærret. Og de har i den forbindelse måttet have fat i sikkerheds-holdet hos Uber for at få adgang igen. Det får hackerne til i blogindlægget at anbefale Uber at tilbyde test-konti til dusørjægere.

Der er også et råd til andre dusørjægere fra Vitor Oliveira, Fábio Pires og Filipe Reis. De skriver:

»Til de folk, der begynder på dusør-programmer, er vores råd: giv aldrig op eller vær bange for et stort selskab, bare hav det sjovt og prøv at lær så meget som muligt hen ad vejen, og så kommer fortjenesten med tiden.«

4 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
4
28. juni 2016 kl. 12:07

Var det sket i danmark, så var personen endt i fængsel for hackning.

3
28. juni 2016 kl. 11:11

Du skulle jo nok starte med at finde nogen huller, før du finder nogen data. Selv med en test konto, og sikkert også noget du kunne have fundet med en normal konto oprettet til formålet.

2
28. juni 2016 kl. 07:59

Hvorfor hulen skulle det være et problem? Kunne forestille mig der faktisk var mere kontrol med en test-konto hvis hensigten med den var at finde sikkerhedshuller.

1
27. juni 2016 kl. 19:56

Yes, så skal jeg bare få mig en test-konto hos Uber, og så kan jeg hacke så meget jeg vil. Det er lige meget hvad for private oplysninger jeg samler op under "hacket", det er jo lovligt. Vær nu forsigtige, det er ikke sikkert alle hackere er lige ærlige med hvad de finder.