Ein Softwarefehler führt dazu, dass praktisch jeder E-Mails von der Uber.com-Domain senden kann. Nein, Uber hat das nicht mit Absicht gemacht. Er beschließt jedoch, die Unannehmlichkeiten vorerst zu ignorieren.
Dies sind die Erkenntnisse mehrerer Sicherheitsexperten, die einen exponierten Endpunkt auf den Servern von Uber dafür verantwortlich machen, dass jeder SendGrid, eine E-Mail-Marketing- und Kundenkommunikationsplattform für den Dienst, nutzen kann, um im Namen von Uber E-Mails zu versenden. vom Taxiriesen.
Bei der Sicherheitslücke handelt es sich um „eine HTML-Injektion in einen der E-Mail-Endpunkte von Uber“, sagte der Sicherheitsexperte und Bug-Jäger Seif Elsallamy gegenüber BleepingComputer. Diese E-Mails können die DKIM- und DMARC-Sicherheitsprüfungen bestehen und sicher in den Posteingängen der Menschen landen, heißt es in dem Bericht weiter.
Senden falscher Warnungen
In einer Demo-E-Mail schrieb Elsalamy eine Nachricht, in der er den Benutzer warnte, dass sein Konto bald gesperrt wird und er seine Zahlungsdaten erneut übermitteln muss. Solche E-Mails, die einfach dazu ausgenutzt werden könnten, sensible Daten und Zahlungsdaten von Millionen zahlender Uber-Kunden abzugreifen, würden von einer legitimen Uber-Domain versendet. Dies ist nur ein Beispiel für die Macht des Scheiterns. Die Übermittlung von Malware, Ransomware oder einfachem Spam sind realistische Möglichkeiten.
Um das Problem zu beheben, muss Uber „Benutzereingaben in einer nicht offengelegten fragilen Form bereinigen“, heißt es.
„Da HTML gerendert wird, können sie eine Sicherheitskodierungsbibliothek verwenden, um die HTML-Entitätskodierung durchzuführen, sodass der gesamte HTML-Code als Text erscheint.“
Uber schweigt vorerst und hat, so wie es aussieht, nicht den Anspruch, das Problem anzugehen. Elsalamy merkt an, dass Uber der Ansicht ist, dass für die Ausnutzung der Schwachstelle „irgendeine Form“ von Social Engineering erforderlich sei, und wies dies als solches ab.
Ob dieser Fehler auf den Datenverstoß von 6 zurückzuführen ist, bei dem sensible Daten von XNUMX Millionen Kunden und Fahrern offengelegt wurden, bleibt abzuwarten. Vor sechs Jahren verhängte das ICO gegen das Unternehmen eine Geldstrafe von XNUMX € für den Verstoß, und die niederländische Datenaufsichtsbehörde fügte weitere XNUMX € hinzu.
TechRadar Pro hat Uber um einen Kommentar gebeten.
Via: BleepingComputer