價值10000美元的Uber漏洞，可隨意重置任何賬戶的密碼

Uber曝出「密碼重置」漏洞

近日，一名義大利安全專家在Uber系統中發現了一個關鍵的身份驗證不當漏洞，利用該漏洞，攻擊者可以對任何賬戶重新設置密碼。

義大利安全專家Vincenzo C（網名為@Procode701）在7個月前就發現了Uber平台存在這一關鍵漏洞，該漏洞允許攻擊者對任何Uber帳戶重置密碼。據悉，該研究人員通過Uber在Hackerone平台發布的「漏洞懸賞計劃」報告了該「不正確的身份驗證」漏洞。

Uber發布的漏洞摘要指出，

只需要通過一個Uber有效帳戶的電子郵件地址，任何人都可以接管該賬戶，因為重置令牌在密碼重置HTTP請求的響應中就會暴露。這就意味著，攻擊者可以為用戶賬戶啟動密碼重置請求，並接收該賬戶的重置令牌。

Uber進一步表示，

我們認為用戶數據的安全性是至關重要的，所以我們對Procode701提交的安全報告非常重視。此外，很榮幸Procode701可以與我們合作，期待未來可以為我們提供更多的安全報告和建議。

這名義大利專家在密碼重置過程中發現了一個非常嚴重的問題，可能會被用來生成可以用於更改任何賬戶密碼的「inAuthSessionID」身份驗證令牌。

Procode701還進一步透露了更多詳細信息，他說，只需要使用任何有效Uber帳戶的電子郵件地址來發送密碼重置請求，回複信息中就會包含「inAuthSessionID」會話令牌。每次用戶發送密碼重置電子郵件時，Uber平台都會生成特定的會話令牌。

一旦獲得「inAuthSessionID」會話令牌，攻擊者就可以使用更改密碼錶單中存在的標準鏈接更改密碼。

1. https://auth.uber.com/login/stage/PASTE，會話ID

POST /login/handleanswer HTTP/1.1 Host: auth.uber.com

{ "init": false,

"answer": {

"type": "PASSWORD_RESET_WITH_EMAIL",

"userIdentifier": {

"email": "xxxx@uber.com"

}

}

}

Reply

HTTP/1.1 200 OK

{

"inAuthSessionID": "cdc1a741-0a8b-4356-8995-8388ab4bbf28",

"stage": {

"question": {

"signinToken": "",

"type": "VERIFY_PASSWORD_RESET",

"tripChallenges": []

},

"alternatives": []

}

}

該漏洞的影響是非常嚴重的，它允許攻擊者訪問任何賬戶和任何用戶的數據，包括身份證號碼、銀行數據、驅動程序許可甚至財務數據等。

漏洞時間線

2016年10月2日——將漏洞報告給Uber公司；

2016年10月4日——漏洞審核；

2016年10月6日——漏洞修復；

2016年10月18日——授予研究人員10000美元現金獎勵。

本文翻譯自

http://securityaffairs.co/wordpress/59210/hacking/uber-improper-authentication.html

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！