优步平台存在不当验证漏洞 任意账户密码可遭重置

意大利安全专家Vincenzo C. 发现了影响优步平台的一个严重不当验证漏洞，可导致任意账户密码遭重置。

这个漏洞是通过HackerOne平台上的漏洞奖励计划发现的。优步指出，“只要拥有一个有效的优步账户的邮件地址，这个账户就有可能遭控制，因为重置口令被暴露到对密码重置HTTP请求的响应中。也就是说攻击者能够为账户启动密码重置并立即接收到这账户的重置口令。”

这名意大利研究员在密码重置进程中发现了一个严重问题，可遭利用从而生成一个验证口令 “InAuthSessionID” ，从而更改任意账户的密码。

这个漏洞的影响很严重，它能让黑客访问任意账户以及任意用户数据（如身份证、银行数据、驾照）如金融信息等。

016年10月2日研究人员将漏洞告知优步；10月4日优步验证该漏洞；10月6日漏洞解决；10月18日，研究人员获得1万美元奖励。

本文由360代码卫士编译，不代表360观点，转载请注明“转自360代码卫士www.codesafe.cn”。