Bir yazılım hatası, hemen hemen herkesin Uber.com etki alanından bir e-posta gönderebileceği anlamına gelir. Hayır, Uber bunu kasıtlı olarak yapmadı. Ancak şu anda sorunu görmezden gelmeyi seçiyor.
Bunlar, herkesin taksi yolculuğu devi adına e-posta göndermek için bir e-posta pazarlama ve müşteri iletişim platformu olan SendGrid’i kullanmasına izin veren Uber sunucularında açıkta kalan bir uç noktayı suçlayan birden fazla güvenlik araştırmacısının sonuçlarıdır.
Güvenlik araştırmacısı ve hata ödül avcısı Seif Elsallamy, güvenlik açığının “Uber’in e-posta uç noktalarından birine bir HTML enjeksiyonu” olduğunu söyledi. BleeBilgisayar. Rapora göre, bu e-postalar hem DKIM hem de DMARC güvenlik kontrollerinden geçebilir ve insanların gelen kutularına güvenli bir şekilde inebilir.
Sahte uyarılar gönderme
Bir tanıtım e-postasında Elsallamy, kullanıcıyı hesabının askıya alınmak üzere olduğu ve ödeme verilerini yeniden göndermeleri gerektiği konusunda uyaran bir mesaj hazırladı. Milyonlarca ödeme yapan Uber müşterisinden hassas ve ödeme verilerini elde etmek için kolayca kullanılabilecek bu tür e-postalar meşru bir Uber alanından gönderilir. Bu sadece kusurun gücünün bir örneğidir. Kötü amaçlı yazılım, fidye yazılımı veya basit spam dağıtmak gerçekçi olasılıklardır.
Sorunu çözmek için Uber’in “kullanıcıların girdilerini savunmasız, açıklanmayan biçimde sterilize etmesi” gerektiğini açıklıyor.
“HTML oluşturulduğundan, herhangi bir HTML’nin metin olarak görünmesi için HTML varlık kodlaması yapmak için bir güvenlik kodlama kitaplığı kullanabilirler.”
Uber şu anda sessiz kalıyor ve görünüşe göre sorunu çözme niyeti yok. Elsallamy, Uber’in kusurun kullanılması için “bir tür sosyal mühendislik” olması gerektiği izlenimi altında olduğunu ve bunu bu şekilde reddettiğini belirtiyor.
Bu kusurun, 57 milyon müşteri ve sürücüye ilişkin hassas verileri açığa çıkaran 2016 veri ihlalini tekrar edip etmeyeceği henüz belli değil. Altı yıl önce, ICO şirketi ihlal nedeniyle 520.000 dolar para cezasına çarptırdı ve Hollanda’nın veri gözlemcisi 680.000 dolar daha ekledi.
TechRadar Pro yorum için Uber’e başvurdu
Üzerinden: BleeBilgisayar