Whitehats brute-forcer sig til rabat-koder hos Uber

Tre hackere har fundet en stribe huller hos kørselstjenesten Uber, som har udbetalt flere dusører i den forbindelse.

Konsulenter fra portugisiske Integrity har hacket løs på Uber-koden og fundet otte sikkerhedshuller. Det er foregået whitehat-style, det vil sige, Uber er blevet varskoet om hullerne, som enten er blevet patchede eller er ved at blive det.

Britiske The Register er faldet over et blogindlæg, hvor de tre hackere, Vitor Oliveira, Fábio Pires og Filipe Reis, beskriver i detaljer, hvordan de har fundet frem til flere af hullerne.

Her fortæller de også, at det har været forbindelse med i Ubers dusør-program, at de er gået på jagt efter sikkerhedshuller hos tjenesten.

Læs også: Uber vil vifte tusindvis af dollars om næsen på hjælpsomme hackere

Fire af hullerne har indtil nu udløst en dusør, mens hackerne stadig afventer Ubers bedømmelse af fire andre sikkerhedshuller.

Det ene af hullerne, der nu er patched, har gjort det muligt at brute-force sig til rabatkoder hos Uber.

I betalingsdelen for riders.uber.com fangede de tre hackere et request i forbindelse med indtastningen af en rabat-kode. Her fandt de ud af, at der ikke var nogen beskyttelse i forhold til brute-force-angreb på koderne. Altså hvor mange koder bliver afprøvet for at finde en, der fungerer.

Via brute-force-metoden er det ifølge blogindlægget lykkedes hackerne at finde mere end 1.000 gyldige koder.

Hackernes råd

Det portugisiske hackerhold fortæller også om, hvordan et hul, der har gjort dem i stand til at tilgå andre brugeres e-mail i Uber. Og så beskriver hackerne, hvor de har fået adgang til informationer om andre brugeres ture.

Flere gange under sikkerhedstesten af Uber-tjenesten har hackerne fået deres konti hos tjeneste spærret. Og de har i den forbindelse måttet have fat i sikkerheds-holdet hos Uber for at få adgang igen. Det får hackerne til i blogindlægget at anbefale Uber at tilbyde test-konti til dusørjægere.

Der er også et råd til andre dusørjægere fra Vitor Oliveira, Fábio Pires og Filipe Reis. De skriver:

»Til de folk, der begynder på dusør-programmer, er vores råd: giv aldrig op eller vær bange for et stort selskab, bare hav det sjovt og prøv at lær så meget som muligt hen ad vejen, og så kommer fortjenesten med tiden.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Robert Voje

Yes, så skal jeg bare få mig en test-konto hos Uber, og så kan jeg hacke så meget jeg vil. Det er lige meget hvad for private oplysninger jeg samler op under "hacket", det er jo lovligt.
Vær nu forsigtige, det er ikke sikkert alle hackere er lige ærlige med hvad de finder.

  • 0
  • 3
Log ind eller Opret konto for at kommentere