價值10000美元的Uber漏洞，可隨意重置任何賬戶的密碼

01-29

Uber曝出「密碼重置」漏洞

近日，一名義大利安全專家在Uber系統中發現了一個關鍵的身份驗證不當漏洞，利用該漏洞，攻擊者可以對任何賬戶重新設置密碼。

義大利安全專家Vincenzo C（網名為@Procode701）在7個月前就發現了Uber平台存在這一關鍵漏洞，該漏洞允許攻擊者對任何Uber帳戶重置密碼。據悉，該研究人員通過Uber在Hackerone平台發布的「漏洞懸賞計劃」報告了該「不正確的身份驗證」漏洞。

Uber發布的漏洞摘要指出，

只需要通過一個Uber有效帳戶的電子郵件地址，任何人都可以接管該賬戶，因為重置令牌在密碼重置HTTP請求的響應中就會暴露。這就意味著，攻擊者可以為用戶賬戶啟動密碼重置請求，並接收該賬戶的重置令牌。

Uber進一步表示，

我們認為用戶數據的安全性是至關重要的，所以我們對Procode701提交的安全報告非常重視。此外，很榮幸Procode701可以與我們合作，期待未來可以為我們提供更多的安全報告和建議。

這名義大利專家在密碼重置過程中發現了一個非常嚴重的問題，可能會被用來生成可以用於更改任何賬戶密碼的「inAuthSessionID」身份驗證令牌。

Procode701還進一步透露了更多詳細信息，他說，只需要使用任何有效Uber帳戶的電子郵件地址來發送密碼重置請求，回複信息中就會包含「inAuthSessionID」會話令牌。每次用戶發送密碼重置電子郵件時，Uber平台都會生成特定的會話令牌。

一旦獲得「inAuthSessionID」會話令牌，攻擊者就可以使用更改密碼錶單中存在的標準鏈接更改密碼。

1. https://auth.uber.com/login/stage/PASTE，會話ID <—通過發送重置密碼郵件生成的inAuthSessionID/af9b9d0c-bb98-41de-876c-4cb911c79bd1 <–沒有截止日期的tokenID。

POST /login/handleanswer HTTP/1.1 Host: auth.uber.com n{ "init": false, n "answer": { n "type": "PASSWORD_RESET_WITH_EMAIL", n "userIdentifier": { n "email": "xxxx@uber.com" n } n } n}nReplynHTTP/1.1 200 OK nn{ n "inAuthSessionID": "cdc1a741-0a8b-4356-8995-8388ab4bbf28", n "stage": { n "question": { n "signinToken": "", n "type": "VERIFY_PASSWORD_RESET", n "tripChallenges": [] n }, n "alternatives": [] n } n}n

該漏洞的影響是非常嚴重的，它允許攻擊者訪問任何賬戶和任何用戶的數據，包括身份證號碼、銀行數據、驅動程序許可甚至財務數據等。

漏洞時間線：

2016年10月2日——將漏洞報告給Uber公司；

2016年10月4日——漏洞審核；

2016年10月6日——漏洞修復；

2016年10月18日——授予研究人員10000美元現金獎勵。

本文翻譯自A critical Improper Authentication vulnerability in Uber allowed password reset for any account，如若轉載，請註明原文地址：t價值10000美元的Uber漏洞，可隨意重置任何賬戶的密碼更多內容請關注「嘶吼專業版」——Pro4hou