Hackowanie Ubera – wiemy kim jesteś, gdzie jesteś i gdzie byłeś

Tak mniej więcej zatytułowali swoje badanie Portugalczycy, którzy w ramach oficjalnego programu bug bounty Ubera zgarnęli $18 000.

Spośród 6 zgłoszonych błędów najciekawsze wydają się chyba te:

1. Możliwość uzyskania e-maila użytkownika znając jego numer telefonu. Krok pośredni to poznanie tzw. UUID użytkownika (co przydaje się również w kolejnym bugu z poznaniem poprzednich tras danego klienta):

2. Mając wspomniany UUID można było pobrać szczegóły wszystkich poprzednich jazd danego użytkownika:

3. Dalej, pobierając UUID kierowcy (można było go odzyskać zamawiając auto i anulując zamówienie), istniała możliwość poznania  jego ostatniego pasażera czy pełnego zapisu trasy:

4. Z innych ciekawostek – techniką bruteforce udało się uzyskać dostęp do kodu promocyjnego (1 jazda za darmo do $100). Nieźle:

–ms