Uber की बड़ी खामी उजागर, भारतीय हैकर को मिले 25 लाख से ज्यादा

भारतीय हैकर आनंद प्रकाश ने अमेरिकी कैब सर्विस उबर की बड़ी खामी उजागर की है. इसके लिए कंपनी ने उसे इनाम दिया है. यह पहला मौका नहीं है जब इस हैकर को बाउंटी दी गई है. इससे पहले भी उबर ने आनंद को उबर सहित फेसबुक जैसी बड़ी कंपनियों से इनाम मिल चुका है. उबर से अब तक इन्हें लगभग 26 लाख रुपये मिले हैं.  यह उन्हें ऊबर की बग बाउंटी प्रोग्राम के तहत दिया गया है. 

और पढ़ें

इस बार उन्होंने ऊपर के इंटर्नल ऐप की खामियों को ढूंढा है. कई थर्ड पार्टी ऐप्स जैसे टैप्जो और इजी गो, इन ऐप्स के जरिए आप उबर की राइड बुक कर सकते हैं. पेटीएम की सर्विस ऐक्सेस कर सकते हैं. ये एक तरह के प्लेटफॉर्म होते हैं जो वन स्टॉप शॉप का काम करते हैं.

इसके लिए उबर इन थर्ड पार्टी ऐप्स को एक पासवर्ड देता है जिसे यूज करके वो ऊबर ऐक्सेस करते हैं. यानी उबर को अपने प्लेटफॉर्म पर ला कर इसे यूज करते हैं. आनंद प्रकाश ने ऊबर ऐप के जरिए इन थर्ड पार्टी ऐप्स के प्लेटफॉर्म पर ऊबर द्वारा जारी किया गया पासवर्ड ढूंढ निकाला. यह मामला काफी गंभीर है और यह काफी मुश्किल भी है.

आनंद प्रकाश ने आज तक टेक से खास बातचीत में बताया है कि उन्होंने इस खामी को ऑक्टूबर में ही रिपोर्ट किया था. इसके बाद उबर ने उनसे इसे किसी को न बताने को कहा था और ये भी माना था की यह काफी गंभीर समस्या है और इसे फिक्स किया जा रहा है. पिछले हफ्ते ऊबर ने सभी डेवेलपर्स को जो ऊबर ऐप अपने प्लेटफॉर्म पर यूज करते हैं, उन्हें ईमेल के जरिए पासवर्ड बदलने की सलाह दी और बड़े डेवेलपर्स का पासवर्ड खुद से बदला है.

इस गंभीर खामी की वजह से कोई हैकर उबर ऐप के जरिए थर्ड पार्टी ऐप्स का पासवर्ड लेकर उन ऐप्स के साथ छेड़ छाड़ कर सकता था. आपको बता दें कि आपसे कलेक्ट की गई जानकारियों का कुछ हिस्सा आपकी इजाजत से ऊबर थर्ड पार्टी ऐप्स प्लेटफॉर्म को भी देता है. उदाहरण के तौर पर आप टैप्जो जैसे ऐप्स को ले सकते हैं. कुल मिला कर ये है कि अगर कोई हैकर्स इनका पासवर्ड पा ले तो उन ऐप्स को आसानी से मैनिप्यूलेट कर सकता है.

चूंकि मामला पासवर्ड चोरी करने का था ऐसे में कोई अटैकर आसानी से अपने अकाउंट को उबर ऐप से कनेक्ट करके सर्वर टोकेन हासिल कर सकता था. इसे क्लाइंट सीक्रेट कहा जाता है. उबर ने अपना डेटा API से हटा कर इस खामी को ठीक किया है.

आनंद प्रकाशन ने 5 ऑक्टूबर को इस खामी के बारे में ऊबर सिक्योरिटी टीम को बताया. दूसरे ही दिन उबर का रेस्पॉन्स आया और कहा गया कि वो डेवेलपर्स को इस बारे में बता रहे हैं और इसे फिक्स करने की तैयारी चल रही है.

8 फरवरी को ऊबर ने आनंद को 5,000 डॉलर (लगभग 3 लाख 56 हजार रुपये) बतौर इनाम दिया और इसके बाद इस मामले को पब्लिक किया गया.