Специалист по инфобезопасности Остин Эпперсон (Austin Epperson) смог взломать страницу сайта Uber и разместил на ней рекламу основного конкурента сервиса вызова такси на американском рынке — Lyft. Об этом он рассказал в своем блоге.
Взломать сайт удалось, используя уязвимость в разделе новой петиции, размещенной на сайте Uber. Компания призывала пользователей подписать петицию, чтобы убедить власти Сан-Франциско разрешить сервису осуществлять свою деятельность на улице Маркет-стрит.
Эпперсону удалось ввести слово «zipcode» в форму петиции, хотя она предусмотрена только для ввода цифр. Кроме того, знаки # и < также не вызывали отторжение системы. Дело в том, что возможность отправки специальных символов в поля онлайн-петиций позволяет хакерам ввести код для взлома ресурса и получить контроль над ним.
В качестве доказательства небезопасности раздела сайта Эпперсон решил разыграть компанию и ввел код, с помощью которого рядом с петицией появился скрин главной страницы Lyft. Таким образом он продемонстрировал, что хакеры могли бы заполучить доступ к сайту, введя вредоносный код, и получить личные данные тех, кто подписался под петицией.
Кроме того, в результате взлома Эпперсон выяснил, что в Uber использовали код, который можно было взять из интернет-инструкции, рассказывающей, как создавать простейшую контактную форму для сайта.
В настоящий момент Uber закрыл все онлайн-петиции. В компании подчеркнули, что данный раздел на сайте не требовал никаких личных данных пользователей, пишет BusinessInsider. Нет доказательств и того, что были украдены какие-либо данные клиентов сервиса.
Компания Uber была основана в 2009 году. Ее мобильное приложение позволяет искать, бронировать и оплачивать такси, в том числе выступая посредником между водителями-частниками и пассажирами. В декабре 2014 года компания привлекла инвестиции в размере 1,2 миллиарда долларов, при этом ее стоимость оценили в 41 миллиард долларов. Uber работает в 115 городах мира, включая российские.