Uber ha corregido un error que permitía el acceso a los tokens de desarrollador secreto de aplicaciones que se integraban con el servicio de uso compartido, según los investigadores de seguridad que descubrieron la falla.
En una publicación del blog, Anand Prakash y Manisha Sangwan explicaron que un punto final de desarrollador vulnerable en los sistemas de back-end de Uber, ya que estaba bloqueado, estaba escupiendo por error secretos de clientes y tokens de servidor para aplicaciones autorizadas por el propietario de la cuenta de Uber.
Los secretos del cliente y los tokens del servidor se consideran información confidencial para los desarrolladores, ya que permiten que las aplicaciones se comuniquen con los servidores de Uber. Por su parte, Uber advierte a los desarrolladores que "nunca compartan" las claves con nadie.
Prakash, fundador de AppSecure, con sede en Bangalore, dijo a TechCrunch que el error era "muy fácil de explotar" y que podría haber permitido a un atacante obtener recibos y facturas de viaje. Pero no probó qué tan lejos pudo haber llegado el acceso, ya que inmediatamente informó el error a Uber.
Uber tardó un mes en corregir el error, de acuerdo con la línea de tiempo de divulgación, y la semana pasada se consideró lo suficientemente serio como para enviar un correo electrónico a los desarrolladores advirtiendo sobre la posible exposición.
"En este momento, no tenemos indicios de que se haya explotado el problema, pero sugerimos revisar las prácticas de su aplicación por precaución", dijo el correo electrónico de Uber a los desarrolladores. "Hemos mitigado el problema al restringir la información devuelta al nombre y la identificación de las aplicaciones autorizadas".
Uber no respondió a una solicitud de comentarios. Si eso cambia, lo actualizaremos.
Prakash recibió $ 5,000 en la recompensa por errores de Uber por informar el error, y actualmente clasifica en los cinco mejores postulantes en la recompensa de errores de Uber.
El investigador de seguridad no es ajeno a la recompensa de errores de Uber. Hace dos años, encontró y explotó con éxito un error que le permitió recibir viajes gratuitos tanto en los EE. UU. Como en su India natal.
Source link