Son zamanlarda DoorDash, bazı sistemlerinde kritik bir güvenlik açığı ile karşı karşıya kaldı. Bu açık, herhangi birinin şirketin yetkilendirilmiş sunucularından “resmi” DoorDash temalı e-postalar gönderme yetkisi verme potansiyeline sahipti. Bu durum, mükemmel bir oltalama (phishing) kanalı oluşturuyor.
Herhangi Biri ‘Resmi’ DoorDash E-postaları Gönderebilir
DoorDash’ için İşletme platformundaki basit bir hata, herhangi birinin [email protected] adresinden tam markalı “resmi” e-postalar göndermesine olanak tanıyor. Bu açık, anonim bir güvenlik araştırmacısı olan doublezero7 tarafından keşfedildi. Bu sistem açığı, kötü niyetli kişilerin yüksek derecede inandırıcı oltalama kampanyaları ve sosyal mühendislik dolandırıcılıkları düzenlemesine yol açabilecek bir potansiyele sahip.
Temel olarak, herkes ücretsiz bir DoorDash için İş hesabı açıp arka uç yönetim panellerinden yeni bir ‘Çalışan’ ekleyebilir, onlara yemek masraf bütçeleri atayabilir ve keyfi HTML içeren e-postalar oluşturabilir.
Bu durum, kullanıcıların e-posta kutusunda, hiç spam gibi gözükmeden, DoorDash’ın resmi şablonuyla birlikte gelir.
15 Aylık Süreç ve Tartışmalar
Güvenlik açığını keşfeden araştırmacı, BleepingComputer ile yaptığı görüşmede bu açığı nasıl istismar edilebileceğine dair kanıtlar sundu. Ancak, bu durum araştırmacı ile DoorDash arasında sert bir tartışmanın patlak vermesine neden oldu.
Araştırmacı, DoorDash’ın açığı düzeltme konusunda yavaş hareket ettiğini, HackerOne’daki raporun “bilgilendirici” olarak kapatıldığını ve açığın yaklaşık 15 ay boyunca istismar edilebilir durumda kaldığını belirtiyor. Patlatılan açık, DoorDash’ın iç sistemlerine dair kullanıcı verilerini ifşa etmiyor olsa da, kullanıcının harekete geçmesi için ikna edilmesini gerektiriyor.
Etik İhlalleri ve Ödeme Talepleri
DoorDash, araştırmacının taleplerini etik dışı bulduğunu savundu. Şirket yetkilileri, araştırmacının mali bir ödeme talep etmesinin güvenlik araştırmalarında etik sınırları aştığını öne sürdü. Araştırmacıyı, raporunu черений yönetimi veya medya yoluyla iletişim kurma önerilerini reddetmekle suçladılar.
DoorDash, “Bu birey DoorDash’ten para talep etmeye çalıştı ve bunun sonucunda bug bounty programımızdan men edildi” açıklamasını yaptı.
Ancak araştırmacı ise bu açığı duyurmasının, şirketin hizmetini ücretsiz olarak kabul etmesinden ve 16 aylık bir başarısızlığı gizlemeye çalışmasından kaynaklandığını ifade etti.
Her iki taraf arasındaki bu çatışma, güvenlik açığı bildiriminin karmaşıklaşabileceğini ve araştırmacılar ile şirketler arasında uyum sorunlarının hızla bir çatışmaya dönüşebileceğini gösteriyor.
Sonuç olarak, DoorDash’ın bu kritik açığı zamanında kapatmamış olması, şirketin itibarını zedelemeye yönelik bir tehdit oluşturdu. Bu durum, hem kullanıcıları hem de şirketleri etkileyebilecek büyük bir risk unsuru olarak değerlendirilmektedir.
