据外媒报道,UberCentral近日被曝发现了一个严重漏洞,可泄露用户姓名,手机号码,email地址以及Uber用户的唯一ID(userUUIDs)。UberCentral是全球最大的驾乘分享服务公司Uber今年夏天为吸引企业客户推出App——企业可通过其为自己的员工(或客户)分别预订、支付乘车费用。
Kevin Roh是一名活跃的白帽子,在业余时间寻找漏洞。他在9月至10月间对UberCentral研究时发现可以通过两种技术枚举Uber用户的userUUIDs,或通用唯一标识符。不久,他又发现了第三个漏洞的存在,可以获得用户姓名,手机号码以及与用户注册时与userUUIDs相关联的email地址。
Kevin在应用中发现了一个IDOR(InsecureDirectObject References,不安全的直接对象引用)漏洞,可进行用户记录(如在此案例中就是UUID,32位字符串)的检索。
“不安全的直接对象引用”:
根据OWASP项目(开放式Web应用程序安全项目)所提供的定义,当一个Web应用程序可以根据用户提供的输入信息来向用户提供对象的直接访问,那么这就是一种不安全的直接对象引用。这个漏洞的存在,将允许攻击者绕过系统的身份验证机制,并直接访问到网络系统中的所有资源。
根据OWASP项目官方提供的信息:
“不安全的直接对象引用将允许攻击者绕过系统的身份验证机制,并可以通过修改对象的引用参数值来直接访问系统资源。这些资源有可能是属于其他用户的数据库数据,也有可能是存储在文件系统中的文件。如果Web应用程序在没有对用户的输入数据进行安全检测的情况下直接向用户提供了请求对象的访问权限,那么就会出现这种不安全的情况。”
“当攻击者从终端枚举大量的UUIDs时,他们就可以发动批量IDOR攻击,”Roh在一篇博文中解释道。
Roh之前曾受邀参加Uber的漏洞赏金计划,他可以查看UberCENTRAL后台。9月初他发现了第一个漏洞,该漏洞允许他通过email与POST请求,作为admin枚举UUIDs。他在10月发现了另一个类似的漏洞,不过这次是通过GET请求来枚举UUIDs。攻击者需获得admin权限才能进行枚举,但是这可以通过分析合法邮件而取得。十月底,Roh再次发现第三个漏洞,可获得完整的用户姓名与手机号码和email地址。
虽然从技术层面来说漏洞出现在UberCENTRAL上,但Roh在周二接受采访时称在Uber修复漏洞之前,所有Uber用户的信息都可以被检索到。
Roh认为,“对于攻击者来说,UUIDs仅在有不安全的直接对象引用时才可用。
Admin可以通过任何Uber账号关联的email地址查看用户的UUID。当admin添加用户时,用户的信息应当仅在其登陆UberCENTRAL才会显示。”
Uber在10月时已经对这三个漏洞进行了修复。
Uber在今年三月正式推出了漏洞赏金项目,HackerOne的CTO Alex Price认为,项目参与者与Uber之间的透明度至关重要。
“经常被重申的是对待外部研究人员(白帽子)应当像内部安全团队成员一般,而不仅仅是金钱或是雇佣关系,这会使得他们更高效,”Rice说道。
Roh在HackerOne的Uber项目中排行前四,自该项目开展以来,他一直在进行Uber的研究及漏洞发现工作。稍早时,他曾发现Uber合作伙伴网站上泄露了900个许可证,社会安全号码以及税务信息等,Uber及时修复了漏洞并邀请他进入私下的测试赏金项目中。