Valtava tietoturva-aukko antaa kenen tahansa lähettää sähköposteja Uberin virallisesta verkkotunnuksesta

Merkittävä tietoturva-aukko UberSähköpostijärjestelmän kerrotaan sallivan kenen tahansa lähettää sähköposteja yrityksen viralliselta Uber.com-verkkotunnukselta. Uber, jonka pääkonttori sijaitsee San Franciscossa, Kaliforniassa, on yksi suurimmista ohjaamojen kokoajista, jolla on toimintaa kymmenissä maissa ympäri maailmaa. Yrityksen kerrotaan omistavan noin 69 prosenttia kyytiautomarkkinoista Yhdysvalloissa, kun taas Lyft vastaa lopusta.

Kuten useimmat muut teknologiayritykset, Uberilla on myös bug bounty -ohjelma, joka maksaa palkkioita yrityksen ohjelmistojärjestelmien haavoittuvuuksista. Yritys maksoi yli 2,8 miljoonaa dollaria bugipalkkiona vuosien varrella, mukaan lukien 16 000 dollaria viimeisen 90 päivän aikana, mutta tämä sähköpostijärjestelmän haavoittuvuus on toistaiseksi korjaamaton. Uber on jo tehnyt kesti useita kiistoja vuosien varrella, ja viimeinen asia, jonka se haluaa, on luoda uusi tietoturvaongelma olemalla ottamatta sähköpostivirhettä vakavasti.

Useat tietoturvatutkijat ovat havainneet vakavan virheen Uberin sähköpostijärjestelmästä, jonka ansiosta luvattomat ihmiset voivat lähettää sähköposteja Uber.com-verkkotunnuksesta. Tutkijat väittävät, että ongelman takana on paljas päätepiste Uber-palvelimilla, vaikka yritys ei ilmeisestikään voi vaivautua korjaamaan sitä. Haavoittuvuuden kuvaus

Piikuva tietokone, turvallisuustutkija ja bugipalkkionmetsästäjä Seif Elsallamy sanoi, että vika on "HTML-injektio johonkin Uberin sähköpostipäätepisteestä" ja voi läpäistä sekä DKIM- että DMARC-turvatarkastukset päästäkseen ihmisten sähköpostiin.

Uber jättää ongelman mielellään huomioimatta

Elsallamy lähettää myös proof-of-concept sähköpostin osoitteeseen Piikuva tietokone Uber.com-verkkotunnuksesta käyttämällä SendGridiä, sähköpostimarkkinointi- ja asiakasviestintäalustaa, osoittamaan, kuinka helppoa paljastetun päätepisteen hyödyntäminen on. Elsallamy ei kuitenkaan paljastanut haavoittuvaa Uber-päätepistettä, koska se olisi aiheuttanut tietoturvaongelman yritykselle, sen asiakkaille ja kuljettajakumppaneille. Tammikuusta lähtien 3, haavoittuvuus pysyy korjaamattomana ja saattaa antaa haitallisten toimijoiden lähettää tietojenkalasteluviestejä Uberin käyttäjät joiden sähköpostitunnukset vuotivat vuoden 2016 tietomurron yhteydessä.

On huomattava, että Uber ei näytä olevan kiinnostunut korjaamaan haavoittuvuutta, vaikka useat tutkijat ovat varoittaneet ongelmasta useaan otteeseen. Elsallamyn tapauksessa huolimatta siitä, että hän ilmoitti ongelmasta Uberille osana HackerOnea bug bounty -ohjelma, hänen raporttinsa hylättiin "soveltamisalan ulkopuolella." Saman bugin oli aiemmin raportoinut ainakin kaksi muuta tietoturvatutkijaa, ja he myös ilmeisesti saivat samanlaisia ​​vastauksia Uberilta.

Itse asiassa ensimmäinen kerta, kun ongelma havaittiin, oli jo vuonna 2015/16, mutta Uber hylkäsi sen. Ongelmasta ilmoitettiin uudelleen maaliskuussa 2021, mutta kohdattiin jälleen kerran hylkääminen. Nyt kun se on saamassa laajaa mediahuomiota, on mielenkiintoista nähdä, saako Uber vihdoinkin toimensa ja korjaa tämän pitkäaikaisen tietoturva-aukon lopullisesti.

Lähde: Piikuva tietokone

Sisarvaimot: Miksi Kody Brown ei koskaan ollut romanttinen Janellen kanssa