De acordo
os pesquisadores de segurança Anand Prakash e Manisha Sangwan, o Uber, que é um dos
serviços de transporte mais utilizados no mundo, corrigiu um bug que permitia o
acesso aos tokens secretos de qualquer aplicativo integrado a ele.
Em uma
postagem no Medium, eles explicaram que um endpoint de desenvolvedor dos
sistemas de back-end do Uber apresentavam vulnerabilidades e, mesmo quando
bloqueados, estavam enviando segredos de clientes e tokens de servidor para os
aplicativos autorizados pelo usuário.
Segredos
de clientes e tokens de servidor são considerados informações altamente
confidenciais para desenvolvedores, pois permitem que os aplicativos se
comuniquem com os servidores do Uber. Exatamente por isso, a empresa de caronas
sempre esteve avisando os desenvolvedores para "nunca compartilhar"
as chaves.
Prakash,
fundador do AppSecure baseado em Bangalore, disse ao TechCrunch que o bug era
fácil de ser explorado e ainda explicou que a brecha poderia ter permitido que
um invasor obtivesse os recibos e faturas de viagens. Entretanto, Prakash diz
que não testou até qual ponto ele poderia acessar, pois relatou o incidente à
Uber imediatamente após a descoberta.
O app
levou um mês para consertar o bug, que foi considerado sério o suficiente para
que a empresa enviasse um e-mail aos desenvolvedores alertando sobre a possível
exposição.
Prakash
recebeu, da Uber, US$ 5 mil como agradecimento por reportar o problema.
Interessantemente, o perquisador de segurança já era um conhecido da empresa
pois, há dois anos, ele havia explorado uma outra brecha que permitia realizar
viagens gratuitas nos EUA e na Índia, a sua terra natal.
Fonte: TechCrunch, Medium
Nenhum comentário:
Postar um comentário