Международный сервис такси Uber исправил баг в своей системе, который предоставлял доступ сторонним лицам к секретным токенам разработчиков. Сообщается, что из-за уязвимости могли попасть в публичный доступ и некоторые данные клиентов.

В своем блоге Ананд Пракаш и Маниша Сангван объяснили, что уязвимая конечная точка разработчика в бэкенд-системе Uber ошибочно передавала секретную информация клиента и токены сервера для авторизации в приложении. Отмечается, что эти данные являются конфиденциальной информацией для разработчиков, поскольку они позволяют приложениям взаимодействовать с серверами сервиса такси.

Ананд Пракаш, основатель приложения AppSecure утверждает, что ошибка «очень проста в использовании» и могла позволить злоумышленнику получить квитанции клиента о поездке.

Специалисты Uber попросили выделить им месяц на исправление ошибки. По их словам, им удалось устранить баг. Компания заплатила Пракашу $5 тыс вознаграждения за то, что он нашел уязвимость в коде и уведомил об этом представителей сервиса.

Источник: psm7.com