Uber网站存 IDOR 漏洞导致用户敏感信息泄露

Uber 门户网站 UberCENTRAL 模块存在一系列漏漏，可能泄露用户姓名、电话号码、电子邮件地址、以及所有 Uber 用户的唯一ID。

漏洞赏金“猎人” Kevin Roh 发现这些漏洞都是由于一个不安全的直接对象引用 （IDOR）导致的。在 9 月初发现了第一个 bug，允许他以管理员身份通过 POST 请求用电子邮件枚举用户 UUID 。

在 10 月他发现可以使用类似的方法，通过 GET 请求枚举 UUID。在 10 月下旬，他发现可以让系统输出姓名、电话号码和电子邮件地址。

目前，还不清楚 Kevin Roh 通过这个三个不安全的直接对象引用漏洞获得多少赏金，但从历史上看每个漏洞的赏金应该在 500 至 1000 美元之间。

本周三 Uber 发言称，漏洞已经被修复，没有用户受到影响。

稿源：本站翻译整理，封面来源：百度搜索

from hackernews.cc.thanks for it.