חור אבטחה עצום מאפשר לכל אחד לשלוח אימיילים מהדומיין הרשמי של Uber

January 05, 2022
בטק אובר

click fraud protection

חור אבטחה משמעותי אוברעל פי הדיווחים, מערכת הדוא"ל של החברה מאפשרת לכל אחד לשלוח מיילים מהדומיין הרשמי של החברה Uber.com. Uber, שבסיסה בסן פרנסיסקו, קליפורניה, היא אחד מצברי המוניות הגדולים ביותר עם פעילות בעשרות מדינות ברחבי העולם. אומרים שלחברה יש בערך 69 אחוז משוק הנסיעות בארה"ב, בעוד Lyft אחראי על השאר.

כמו רוב חברות הטכנולוגיה האחרות, גם ל-Uber יש תוכנית באגים המחלקת תגמולים עבור תפיסת נקודות תורפה במערכות התוכנה של החברה. החברה שילמה יותר מ-2.8 מיליון דולר בפרס באגים במהלך השנים, כולל 16,000 דולר במהלך 90 הימים האחרונים, אך הפגיעות הספציפית הזו במערכת האימייל נותרה ללא תיקון נכון לעכשיו. אובר כבר סבל מכמה מחלוקות במהלך השנים, והדבר האחרון שהוא רוצה הוא ליצור בעיית אבטחה חדשה על ידי אי התייחסות לבאג הדוא"ל ברצינות.

על פי הדיווחים, חוקרי אבטחה רבים גילו באג רציני במערכת הדוא"ל של אובר המאפשר לאנשים לא מורשים לשלוח מיילים מהדומיין של Uber.com. חוקרים טוענים שנקודת קצה חשופה בשרתי אובר היא הסיבה לבעיה, אם כי כנראה שלחברה לא ניתן לטרוח לתקן אותה. תיאור הפגיעות ל מחשב מצמרר, חוקר אבטחה וצייד ראשים באגים Seif Elsallamy אמר כי הבאג הוא

"הזרקת HTML באחת מנקודות הקצה של אימייל של אובר" ויכול לעבור גם בדיקות אבטחה של DKIM וגם DMARC כדי להגיע לתיבות הדואר הנכנס של אנשים.

אובר מתעלמת ברצון מהבעיה

אלסלאמי שולחת גם מייל הוכחת קונספט אל מחשב מצמרר מהדומיין של Uber.com על ידי שימוש ב-SendGrid, פלטפורמת שיווק בדוא"ל ותקשורת לקוחות, כדי להראות כמה קל לנצל את נקודת הקצה החשופה. עם זאת, אלסלאמי לא חשפה את נקודת הקצה הפגיעה של אובר מכיוון שהיא הייתה מייצרת בעיית אבטחה עבור החברה, לקוחותיה ושותפי הנהגים. נכון לינואר. 3, הפגיעות נותרת ללא תיקון ועלולה לאפשר לשחקנים זדוניים לשלוח הודעות דיוג אל משתמשי אובר שמזהות האימייל שלו דלפו בפרצת נתונים ב-2016.

למרבה הפלא, נראה ש- Uber לא מעוניינת לתקן את הפגיעות למרות שהוזעקה לבעיה במספר הזדמנויות על ידי חוקרים מרובים. במקרה של אלסלאמי, למרות שדיווח על הבעיה לאובר כחלק מה-HackerOne תוכנית הבאונטי באג, הדיווח שלו נדחה בשל היותו "מחוץ לכוונת." אותו באג דווח קודם לכן על ידי לפחות שני חוקרי אבטחה נוספים, וככל הנראה גם הם קיבלו תשובות דומות מאובר.

למעשה, הפעם הראשונה שהבעיה זוהתה הייתה עוד ב-2015/16 אך נדחתה על ידי אובר. הבעיה דווחה שוב במרץ 2021, רק כדי להתמודד שוב עם דחייה. כעת, כשהיא זוכה לסיקור תקשורתי נרחב, יהיה מעניין לראות אם אובר סוף סוף תתחיל לפעול ותתקן את חור האבטחה הממושך הזה אחת ולתמיד.

מָקוֹר: מחשב מצמרר

נשות אחיות: מדוע קודי בראון מעולם לא היה רומנטי עם ג'אנל