Uber | Bug Bounty

El programa Bug Bounty de la plataforma Uber se ha integrado con HackerOne. Como resultado, todas las presentaciones de GitHub Security Bug Bounty deben realizarse para su revisión a través del portal HackerOne.

SSRF Sheriff

Hemos establecido un servicio de "Sheriff" para las pruebas de SSRF (Server-Side Request Forgery). Si cree que tiene un SSRF en producción, utilice cualquiera de las siguientes combinaciones de IP/port para las pruebas:

  • http://10.82.126.161:31368 = http://agent632-phx3.prod.uber.internal:31368
  • http://10.196.238.0:31000 = http://agent8516-dca4.prod.uber.internal:31000

Este servicio acepta peticiones HTTP a cualquier endpoint, de cualquier tipo de petición, y devolverá un token secreto tanto en los encabezados como en el cuerpo de la respuesta. También responde con tipos de respuesta válidos para todas las extensiones de archivo enumeradas a continuación (solo agregue la extensión a su ruta de solicitud, por ejemplo /foobar.json):

  • xml
  • json
  • gif, png, jpg/jpeg
  • html
  • txt
  • mp4
  • csv

Para obtener información adicional sobre SSRF Sheriff Service, incluido el código fuente, consulte: https://github.com/teknogeek/ssrf-sheriff

Security Impact Buckets

Usamos "grupos de impacto" para clasificar las vulnerabilidades, y cada grupo de impacto tiene varios factores diferentes que utilizamos para determinar la gravedad del ataque.

Exposición de Datos

Capacidad de acceder a datos de usuarios, datos de empleados o datos comerciales confidenciales de Uber sin tener autorización de la víctima o la compañía.

Los factores a considerar son:

  • Número de usuarios afectados.
  • Sensibilidad de los datos expuestos.
  • Escala de exposición.
  • Acciones no autorizadas en nombre del usuario: capacidad de falsificar acciones autenticadas en nombre de una víctima.

Acciones no autorizadas en nombre del usuario

Los factores que intervienen son:

  • Posibilidad de modificar datos en nombre de otro usuario.
  • Gravedad de las acciones no autorizadas.
  • Posibilidad de obtención de la cuenta.
  • Nivel de privilegio/acceso obtenido.

Acciones no autorizadas en nombre de Uber

Capacidad de falsificar acciones autenticadas en nombre de Uber.

Los factores considerados pueden incluir:

  • Acciones realizadas por la petición de autenticación.
  • Nivel de privilegio/acceso obtenido.
  • Interrupción del servicio.
  • Fuerza bruta.

Impacto económico

Capacidad de causar un impacto económico a los usuarios de Uber o Uber a través de una vulnerabilidad técnica.

Los factores considerados pueden incluir:

  • Impacto financiero.
  • Interrupción del servicio.
  • Número de usuarios afectados.
  • Múltiples cuentas.

Ingeniería Social

Capacidad de realizar phishing dirigido los usuarios de Uber.

Los factores considerados pueden incluir:

  • Sensibilidad de los datos expuestos.
  • Número de usuarios afectados.
  • Posibilidad de obtención de la cuenta.
  • Capacidad para manipular el contenido.

Ejemplos:

  • Inyección HTML en www.uber.com que permite phishing convincente.
  • XSS en un dominio no autenticado como www.uber.com
  • La técnica de Spear Phishing (estafa de correo electrónico dirigida) queda fuera del alcance.

Seguridad física

Capacidad de eludir los controles de seguridad física a través de una vulnerabilidad técnica; el aspecto clave de estos informes es que existe una vulnerabilidad técnica en nuestros servicios.

Los factores considerados pueden incluir:

  • Posibilidad de causar daño físico.
  • Número de usuarios afectados.
  • Posibilidad de obtención de la cuenta.
  • Número de usuarios potencialmente afectados.

Reconocemos que los investigadores valoran recibir recompensas lo antes posible, pero basar los pagos en el impacto en la seguridad a menudo requiere que lleguemos a una resolución antes de comprender completamente el impacto potencial en la seguridad.

Para cumplir con estas necesidades, tenemos un modelo híbrido en el que pagamos nuestra recompensa mínima de $500 en el momento del triaje y luego la recompensa total en la resolución una vez que comprendamos completamente el impacto en la seguridad.

Exposición de datos del usuario

Acciones no autorizadas en nombre del usuario/empleado

Impacto económico

Phishing

Seguridad

$500 - $10,000

$500 - $10,000

$500 - $10,000

$500 - $5,000

$500 - $10,000

Los informes de fraude ya no están dentro del alcance. Esto incluye informes que detallan la capacidad de realizar viajes y evadir el pago. Envíe todos los problemas relacionados con el fraude a external-fraud-reports-group@uber.com

Los ataques distribuidos de denegación de servicio (DDOS) también quedan fuera del alcance del programa Bug Bounty.

Dominios fuera de alcance

  • support-uber.com
  • lioncityrentals.com.sg
  • xchangeleasing.com
  • *.uber.com.cn o cualquier otra propiedad relacionada con Uber en China.
  • uber.onelogin.com
  • bizblog.uber.com
  • newsroom.uber.com
  • love.uber.com
  • drive.uber.com
  • eng.uber.com
  • people.uber.com
  • *.et.uber.com