El sitio de peticiones de Uber mostró avisos de su rival tras un hack

Share this…

Una falla en el sitio de la red de taxis Uber le permitió a un investigador de seguridad manipular la página principal de la empresa y mostrar un anuncio de su rival Lyft.

La falla está relacionada a las peticiones de Uber, que al parecer se han llevado fuera de línea. El investigador, Austin Epperson, afirmó que estaba llenando de una petición de Uber en su sitio cuando se dio cuenta de que el formulario permitía entradas de caracteres no numéricos y especiales en el campo de ‘zip code’ (“Código postal”).

El sitio de peticiones de Uber mostró avisos de su rival tras un hack
El sitio de peticiones de Uber mostró avisos de su rival tras un hack

Epperson publicó un post que detalla el hack, que culminó en él usando el formulario inseguropara publicar un iframe, el cual redirigía a los visitantes del sitio de Uber al de su competidor Lyft.

Epperson escribió: “Alguien con malas intenciones podría en secreto infectar a los visitantes de la página petición de Uber con un virus, o poner un scam que parezca legítimo en la página web como ‘¡Viajes gratuitos ilimitados de Uber durante un año! Sólo $299… pague aquí…’”.

Continuó criticando a la empresa de taxis: “Gracias Uber por hacer tan fácil manipular su sitio web. Ha sido una gran experiencia educativa, pero por favor no lo hagan de nuevo. Quien desarrolló su página web, literalmente copió y pegó el código de un tutorial en línea que se proclama a sí mismo como un código muy simple”.

Los sitios de petición de Uber permanecen fuera de línea, de acuerdo con The Register, y no hay evidencia de que datos personales hayan sido robados debido a la vulnerabilidad. Business Insider informa que Uber no ha comentado sobre las acusaciones hasta el momento.

Esta no es la primera vez en este año que Uber ha sido criticada por su seguridad, después de unabrecha que expuso su base de datos de conductores en marzo, que dejó a 50.000 empleados vulnerables a que sus datos personales sean robados.

Fuente:https://www.welivesecurity.com/