Wie Hacker sich 20.000 Uber-Freifahrten verschafften

17. März 2016, 16:18
19 Postings

Schlecht abgesichertes System ermöglicht Betrug durch massenhaftes Anlegen neuer Accounts

Gegenüber Neukunden zeigt sich Uber spendabel. Wer sich bei dem Personentransportdienst registriert, erhält ein Startguthaben, um Fahrten zu buchen. In den USA sind das 20 Dollar. Zwei Sicherheitsforscher, Graeme Neilson und Wladimir Wolstencroft, haben eine Methode gefunden, Ubers Registrierungssystem auszutricksen und waren damit in der Lage, sich 20.000 Gratisfahrten zu sichern, schreibt Golem.

Dabei erscheint die Registrierung bei Uber eigentlich gut abgesichert zu sein. Wer sich neu anmeldet, muss eine E-Mail-Adresse und eine Mobilnummer angeben. An Letztere wird ein vierstelliger Code versandt, der zum Abschließen der Anmeldung eingegeben werden muss.

Zwei Möglichkeiten

Doch es gibt zweierlei Methoden, das System auszutricksen. Die erste ist der günstige Kauf einer Telefonnummer für den SMS-Empfang. So etwas bietet beispielsweise der Dienst Twilio an, wo dies bereits für einen Dollar möglich ist. Womit nach dem Eröffnen des Uber-Accounts rechnerisch 19 Dollar in Profit an "Taxigeld" bleiben.

Aber es geht noch günstiger – und zwar in dem man eine nicht existierende Nummer angibt, und versucht, den Code zu erraten. Für den ersten Versuch besteht eine Chance von 1:10.000 die richtige Kombination zu treffen. Nach mehreren Anläufen verschickt das System einen neuen Code.

Ein Limit für Rateversuche kennt das System allerdings nicht. Somit ergibt sich eine gute Chance, innerhalb von 10.000 Versuchen einen Treffer zu landen. Automatisiert man das Anlegen neuer Konten und die Eingabe der Sicherheitsnummer, lassen sich immer wieder neue Accounts mit 20 Dollar Fahrtgutschein generieren. Auf diese Weise kamen Neilson und Wolstencroft zu 20.000 Uber-Accounts, berichteten sie auf der Troopers Conference.

Lücke ermöglicht Account-Übernahme bei Lyft

Allerdings geht das Schadpotenzial dieser Schwachstelle über das Erschleichen von Fahrtengutscheinen hinaus. Laut den Forschern ließe sich eine solche Flut an Konten nutzen, um praktisch alle aktiven Fahrer einer Stadt mit falschen Fahrtaufträgen auf Trab zu halten. Das könnte erheblichen wirtschaftlichen Schaden verursachen und sich schwerwiegend auf die dynamische Preisbildung von Uber auswirken, die sich auf aktuellem Angebot und Nachfrage gründet.

Auch beim Uber-Konkurrenten Lyft probierte man den Bruteforce-Angriff auf den Bestätigungscode – mit Erfolg. Hier entdeckte man dabei auch ein weiteres Problem. Gibt man eine Telefonnummer ein, der bereits ein Konto zugeordnet ist, und errät den Code, so erhält man Zugriff auf das fremde Konto und kann dort unter anderem Zahlungsinformationen einsehen.

Datenschutzbedenken

Neben diesen Problemen attestierten Neilson und Wolstencroft den Apps der zwei Unternehmen auch Datenschutzprobleme. So würden diese unter anderem Informationen abfragen, die sie für die Verwendung gar nicht benötigten, wie etwa den Ladestand des Akkus. Lyfts App versucht sogar herauszufinden, ob ein Nutzer auf seinem Handy auch die Uber-App installiert hat. (gpi, 17.03.2016)

  • Das System von Uber ist anfällig für Manipulation.
    foto: reuters

    Das System von Uber ist anfällig für Manipulation.

Share if you care.