image

Bezoekers Uber-petitie via lek naar concurrent gestuurd

dinsdag 16 juni 2015, 12:10 door Redactie, 2 reacties
Laatst bijgewerkt: 16-06-2015, 14:18

Een beveiligingslek in een petitiepagina van taxi-app Uber maakte het mogelijk dat de onderzoeker die het probleem ontdekte bezoekers naar concurrent Lyft kon doorsturen. Uber was op de eigen website een petitie gestart waarop gebruikers van de app werden opgeroepen om die te tekenen.

Onderzoeker Austin Epperson ontving het verzoek ook en ontdekte al meteen dat er allerlei soorten karakters in het petitieformulier konden worden ingevuld. Het probleem werd vergroot doordat op de petitiepagina de vijf laatst getekende petities werden getoond. Epperson ontdekte verder dat hij een iframe aan zijn ingevulde petitie kon toevoegen, waarmee hij bezoekers automatisch naar concurrent Lyft.com doorstuurde. Het bezoeken van de petitie was in dit geval voldoende om te worden doorgestuurd. Volgens de onderzoeker had het lek echter voor veel gevaarlijkere zaken kunnen worden gebruikt, zoals het verspreiden van malware of het oplichten van bezoekers via een scampagina.

Om ervoor te zorgen dat zijn petitie met code steeds op de pagina verscheen ontdekte Epperson een ander probleem, waardoor hij uiteindelijk via een programma 1.000 petities per minuut kon laten invullen. "Ik ben gestopt toen de teller de 106.000 handtekeningen had bereikt", zo laat hij in een uitleg van de gevonden problemen weten. Na te zijn ingelicht door de onderzoeker haalde Uber de website uit de lucht, die op het moment van schrijven nog steeds niet online is. Epperson stelt verder dat de ontwikkelaar van de petitiepagina het script één-op-één heeft gekopieerd van een online handleiding, die juist stelt dat het om een eenvoudig contactformulier gaat.

Image

Reacties (2)
16-06-2015, 14:06 door Anoniem
Nogal een telegraaf kop...
16-06-2015, 15:09 door Vandy
Net als het origineel "I broke Uber" overigens.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.