Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

Uber, herkese Uber olarak e-posta göndermenize izin veren güvenlik açığını reddediyor!

Uber, herkese Uber olarak e-posta göndermenize izin veren güvenlik açığını reddediyor!

Uber’in e-posta sistemindeki bir güvenlik açığı, hemen hemen herkesin Uber adına e-posta göndermesine olanak tanır.

Bu kusuru keşfeden araştırmacı, bu güvenlik açığının tehdit aktörleri tarafından 2016 veri ihlali sırasında bilgileri sızdırılan 57 milyon Uber kullanıcısına ve sürücüsüne e-posta göndermek için kötüye kullanılabileceği konusunda uyarıyor.

Uber, kusurun farkında görünüyor ancak şimdilik düzeltmedi.

‘Uber’iniz şimdi geliyor’

Güvenlik araştırmacısı ve hata ödül avcısı Seyf Elsallamy Uber sistemlerinde herkesin Uber adına e-posta göndermesine olanak tanıyan bir kusur keşfetti.

Uber’in sunucularından gönderilen bu e-postalar, bir e-posta sağlayıcısına meşru görünebilir (çünkü teknik olarak onlar) ve herhangi bir spam filtresini geçmesini sağlayın.

Uber’den ‘Uber’iniz şimdi geliyor’ veya ‘Uber ile Perşembe sabahı yolculuğunuz’ diyen bir mesaj aldığınızı hayal edin; o yolculukları hiç yapmamışken.

Bir gösteride Elsallamy bana, şüphesiz Uber’den gelmiş gibi görünen ve önemsiz değil, doğrudan gelen kutuma düşen şu e-posta mesajını gönderdi:

Uber sunucularından gönderilen PoC e-postası
Uber’in sunucularından BleepingComputer’a gönderilen PoC e-postası

Araştırmacı tarafından BleepingComputer’a gönderilen e-posta formu, Uber müşterisini kredi kartı bilgilerini sağlamaya teşvik ediyor.

Bununla birlikte, mesajın alt kısmında “bu bir güvenlik açığı Kavram Kanıtıdır” şeklinde açık bir sorumluluk reddi beyanı bulunduğunu ve önceden izin alınarak BleepingComputer’a gönderildiğini unutmayın.

PoC sorumluluk reddi
Uber’den BleepingComputer’a gönderilen e-postadaki PoC sorumluluk reddi beyanı

2021 Yeni Yıl Arifesinde araştırmacı, HackerOne hata ödül programı aracılığıyla Uber’e karşı güvenlik açığını sorumlu bir şekilde bildirdi.

Ancak, raporu, teknik kusurun kullanılmasının bir tür sosyal mühendislik gerektirdiğine dair hatalı varsayım üzerine “kapsam dışı” olduğu için reddedildi:

Uber, araştırmacının raporunu reddetti
Uber, araştırmacının sosyal mühendislik gerektirdiği sonucuna varan raporunu reddetti (heyecan)

57 milyon Uber müşterisi ve sürücüsü risk altında

Sanılanın aksine, bu basit bir durum değil. e-posta sahtekarlığı tehdit aktörleri tarafından kimlik avı e-postaları oluşturmak için kullanılır.

Aslında, araştırmacı tarafından “Uber’den” BleepingComputer’a gönderilen e-posta her ikisini de geçti DKIM ve DMARC tarafımızca görülen e-posta başlıklarına göre güvenlik kontrolleri.

Uber'den gönderilen e-posta, DKIM ve SPF güvenlik kontrollerinden geçer
“Uber’den” gönderilen e-posta, DKIM ve DMARC güvenlik kontrollerinden geçer (BipleyenBilgisayar)

Araştırmacının e-postası şu şekilde gönderildi: SendGrid, önde gelen şirketler tarafından kullanılan bir e-posta pazarlama ve müşteri iletişim platformu.

Ancak Elsallamy, BleepingComputer’a bunun kusurdan sorumlu Uber sunucularında açıkta kalan bir uç nokta olduğunu ve herkesin Uber adına bir e-posta oluşturmasına izin verdiğini söyler.

Elsallamy, güvenlik açığının “Uber’in e-posta uç noktalarından birine bir HTML enjeksiyonu” olduğunu söylüyor. 2019’da keşfedilen benzer kusur Kalem testçisi Youssef Sammouda tarafından Meta’nın (Facebook’un) sunucularında.

Meta’nın durumunda, son nokta şununla aynı görünüyordu:

https://legal.tapprd.thefacebook.com/tapprd/Portal/ShowWorkFlow/AnonymousEmbed/XXXXXXXXXXXXX

Anlaşılır bir şekilde, güvenlik nedenleriyle araştırmacı, savunmasız Uber uç noktasını açıklamadı.

o sorgulandı Uber, “Gelin [calculator] ve bu güvenlik açığı 57 milyon e-posta ile kullanılmış olsaydı sonucun ne olacağını söyle [addresses that leaked] son veri ihlalinden mi?”

“Sonucu biliyorsanız, böcek ödül triyaj ekibindeki çalışanlarınıza söyleyin.”

Elsallamy, Uber’in kişisel bilgilerini ifşa eden 2016 veri ihlaline atıfta bulunuyor. 57 milyon Uber müşterisi ve sürücüsü.

Bu aksilik için, Birleşik Krallık Bilgi Komisyonu Ofisi (ICO), Uber’e 385.000 £ ve Hollanda’daki veri koruma otoritesi (Autoriteit Persoonsgegevens) şirkete 600.000 € para cezası verdi.

Bu yama uygulanmamış güvenlik açığından yararlanan saldırganlar, daha önce ihlalden etkilenen milyonlarca Uber kullanıcısına hedefli kimlik avı dolandırıcılığı gönderebilir.

Uber’in kusuru gidermek için ne yapabileceği sorulduğunda, araştırmacı şu tavsiyede bulunuyor:

Elsallamy, BleepingComputer’a verdiği demeçte, “Kullanıcıların girişlerini güvenlik açığı bulunan açıklanmayan biçimde temizlemeleri gerekiyor. HTML oluşturulduğundan, HTML varlık kodlaması yapmak için bir güvenlik kodlama kitaplığı kullanabilirler, böylece herhangi bir HTML metin olarak görünür.”

BleepingComputer, yayınlamadan çok önce Uber’e ulaştı, ancak şu anda haber alamadı.

Uber kullanıcıları, çalışanları, sürücüleri ve ortakları, Uber’den gönderilen ve meşru gibi görünen kimlik avı e-postalarına dikkat etmelidir, çünkü bu kusurun tehdit aktörleri tarafından kullanılması bir olasılık olarak kalır.

İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.