Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Fallas en Uber revelan información sensible de conductores y usuarios
Los investigadores de consultoría y auditoría tecnológica de Integrity han descubierto 14 fallas en sitios web y aplicaciones móviles de Uber, la mayoría pueden revelar información sensible acerca de sus usuarios.
Seis de estas fallas ya habían sido reportadas por analistas de vulnerabilidades en una campaña de Uber que invita a los especialistas de seguridad a buscar fallas en sus aplicativos, pero el resto de las mismas eran desconocidas para la empresa. Los investigadores de Integrity compartieron la información sobre las vulnerabilidades que ya han sido corregidas por Uber.
Fallas de Uber
Una falla permitía ataques de fuerza bruta contra los "códigos de promoción" en la página de pago, permitiendo a los atacantes descubrir y utilizar diferentes códigos:
"Inicialmente, este punto no se considera válido porque los códigos de las promociones son públicos y para uso de cualquier usuario. Esto fue así hasta encontrar un código de $100 ERH (Emergency Ride Home) del cual ni ellos (el equipo de seguridad de Uber) tenían conocimiento. Este código ERH funciona de forma diferente que todos los demás, ya que incluso si un código de promoción se aplica, este todavía puede ser añadido".
Otra falla permitió a los investigadores a descubrir correos electrónicos privados mediante el uso de sus UUID, para enumerar identificadores de usuarios con números de teléfono mediante el aprovechamiento de un error en la opción de "división de tarifa". De esta forma veían a los conductores a través de su UUID y obtenían información como el nombre del chofer, la matrícula, el UUID del último viaje, el apellido del pasajero, el número de pasajeros, el origen y destino del viaje y más.
"Este fue nuestro primer programa en la búsqueda de errores al que realmente dedicamos algún tiempo y creemos que tuvo un resultado positivo. Al principio no estábamos muy seguros de este programa porque mucha gente ya había probado Uber en el programa privado, pero después de algún tiempo y cuando empezamos a encontrar algunas vulnerabilidades sobresalientes nos dio el impulso para continuar y ver hasta dónde podría llegar", anotaron los investigadores.
