Bug en app de Uber permitía pedir un viaje y comida desde otra cuenta

Uber solucionó una falla de seguridad »severa» que permitía a los piratas informáticos pedir viajes y comida en las cuentas de los clientes, a su costa, utilizando la dirección de correo electrónico o el número de teléfono de la víctima.

El error fue notificado a la compañía por Anand Prakesh, un investigador de seguridad informática, quien también agregó que podría usarse para rastrear la ubicación de un cliente de Uber.

Prakesh pudo acceder a la ID de usuario única de una cuenta, o «token de acceso», al proporcionar un número de teléfono o una dirección de correo electrónico asociada con una cuenta a la Interfaz de Programador de Aplicaciones (API) de Uber.

Las API envían información de Uber a los desarrolladores de aplicaciones, generalmente para garantizar que sus aplicaciones funcionen con Uber, como Google Maps, que le permite tomar un taxi desde su ubicación.

Uber le pagó a Prakesh $6,500 dólares por enviar la notificación bajo su programa de recompensas de errores que lo clasificó como un «8.5 de 10, severo». Uber paga hasta $ 50,000 por divulgaciones. La empresa solucionó el error unos días después de haber sido notificado.

Un portavoz de la compañía afirmó que no consideran que la falla haya sido explotada por delincuentes. Además dijo que Uber tiene una protección automatizada que detecta actividad sospechosa, como un inicio de sesión desde un nuevo dispositivo, y alertará a un usuario ya sea pidiéndole que confirme la actividad o pidiéndole que restablezca sus credenciales.

Este método para secuestrar cuentas fue explotado por un hacker que derribó Facebook en octubre de 2018.