15:57
28/2/2015

Ale nie jest to ani wielki wyciek (50 000 rekordów) ani szeroki w zakresie danych — w bazie znajdowały się tylko nazwiska i numery rejestracyjne. Ciekawsze od wycieku jest to, jak do niego doszło…

Wyciek kluczy Ubera

Z ujawnionych przez sąd dokumentów wynika, że klucz dostępowy do bazy danych Ubera znajdował się na publicznie dostępnym repozytorium na GitHubie. Uber chce teraz wymusić prawnie na GitHubie ujawnienie adresów IP osób, które odwoływały się do tych dwóch gistów.

Jak twierdzi Uber, dane w bazie (tej okradzionej) chronione są unikatowym kluczem dostępnym tylko pracownikom. Niemniej jednak, 12 maja 2014 ktoś z adresu IP niepowiązanego z żadnym z pracowników Ubera, dostał się do serwera bazodanowego.

Umieszczanie kluczy i haseł to niestety dość popularna wpadka.

Ukrty interfejs pracowniczy

Warto też rzucić okiem na to, co jeden z programistów iOS, Nathan Mock, znalazł w aplikacji mobilnej Ubera.

Puszczając ruch przez proxy i rozszywając SSL-a poprzez podstawienie self-signed certyfikatu, badacz dostrzegł odpowiedź od serwera zwierającą klucz isAdmin ustawiony na false. Tak, dobrze się domyślacie co Nathan zrobił w kolejnym kroku… Podmiana parametru na wartość true spowodowała, że oczom Nathana ukazała się dodatkowa opcja w aplikacji mobilnej Ubera, pozwalająca pracownikom Ubera testować różne funkcje systemu i generować “fałszywe” akcje:

Ukryte w mobinej applikacji Ubera menu

Ukryte w mobinej applikacji Ubera menu

Twórcom aplikacji przypominamy, że sam fakt szyfrowania ruchu nie uniemożliwia jego modyfikacji. Aby zapobiec atakom MITM i utrudnić reversing protokołu warto stosować choćby tzw. pinning certyfikatów.

Wszystkich, którzy interesują się bezpieczeństwem aplikacji mobilnych zapraszamy na nasze 2 dniowe szkolenie “Bezpieczeństwo Aplikacji Mobilnych” przeznaczone dla programistów Andorida i iOS — najbliższy termin to 16-17 kwietnia w Krakowie. A jeśli ktoś z Was ma aplikację mobilną, której bezpieczeństwo chciałby profesjonalnie przetestować, zachęcamy do skorzystania z usług naszego zespołu pentesterów.

Przeczytaj także:

16 komentarzy

Dodaj komentarz
  1. Dlaczego nie zgłosił tego najpierw do whitehata jest trochę niezrozumiałe

  2. po co redirect na https jak wam nie trybi?

    • Pod jaką przeglądarką ci nie trybi?

    • Chrome, Firefox, IE (najnowsze wersje), system Win 8.1

    • Ładujecie treści częściowo HTTP://

    • Nie ma nigdzie (poza stronami kontakt/pentesty/szkolenia) wymuszania https na niebezpieczniku. Tam nie powinno sie nic ładować “częściowo”.

      HTTPS może każdy sobie wymusić (całość strony wspiera), ale nie gwarantujemy, że nie będą tam tylko zasoby po https linkowane.

    • Poprawcie przekierowanie do strony głównej podczas korzystania z https, bo przekierowuje na http.

    • A gdzie to przekierowanie?

    • Problem drugi: po wysłaniu odpowiedzi podczas korzystania z https również przekierowuje do http (na obecnej podstronie).

    • Moze dlatego, ze https nie jest wymuszany wiec bez https everywhere albo podobnego dodatku bedzie defaultowac do http.

    • “A gdzie to przekierowanie?”

      Te strony we wpisie na dole są przekierowywane na https, podobnie jak Kontakt i link do komentarzy w mailach, ale https wam nie działa (= defaultowa strona przeglądarki z errorem).

      Może się Wam Cloudflare “przestawił” – ustawienia fexible ssl? Reguły?

    • Mam HTTPS Everywhere i strona nie leci po https.

  3. Pinning certificate można bardzo łatwo ominąć korzystając ze świetnego pakietu Android-SSL-TrustKiller ( https://github.com/iSECPartners ).
    Polecam pozostałe pakiety tej organizacji, a w szczególności Introspy – pozwala na hookowanie/śledzenie funkcji związanych z bezpieczeństwem oraz kryptografią, np. podgląd kluczy prywatnych / haseł do keystore / hashy md5/sha oraz wielu innych

  4. Masz takie rozwiązanie dla iOS?

  5. Stworzyłeś sobie regułę?

    I nie będzie dopóki nie stworzysz sobie reguły sam, bo niebezpiecznik nie jest w https everywhere domyślnie.

    Wrzuć do appdata\roaming\mozilla\firefox\profiles\krzaki\httpseverywhereuserrules

    Mi działa, ale ff piszczy o mixed content pomimo tego, że wyłączyłem w configu.

  6. Ale tylko wyświetlił menu debugowe, czy udało mu sie przy jego pomocy wrzucić na serwer jakieś fejkowe dane?
    Dopiero pokazanie, że przy korzystaniu z tego menu nie byłoby sprawdzania czy user jest adminem byłoby dziurą. A tak to przecież nie ma żadnego znaczenia, ot, podgląd na to co mają dostępne developerzy/testerzy.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.