Uber’in e-posta sistemindeki bir güvenlik açığı, hemen hemen herkesin Uber adına e-posta göndermesine olanak tanır.
Bu kusuru keşfeden araştırmacı, bu güvenlik açığının tehdit aktörleri tarafından 2016 veri ihlali sırasında bilgileri sızdırılan 57 milyon Uber kullanıcısına ve sürücüsüne e-posta göndermek için kötüye kullanılabileceği konusunda uyarıyor.
Uber, kusurun farkında görünüyor ancak şimdilik düzeltmedi.
‘Uber’iniz şimdi geliyor’
Güvenlik araştırmacısı ve hata ödül avcısı Seyf Elsallamy Uber sistemlerinde herkesin Uber adına e-posta göndermesine olanak tanıyan bir kusur keşfetti.
Uber’in sunucularından gönderilen bu e-postalar, bir e-posta sağlayıcısına meşru görünebilir (çünkü teknik olarak onlar) ve herhangi bir spam filtresini geçmesini sağlayın.
Uber’den ‘Uber’iniz şimdi geliyor’ veya ‘Uber ile Perşembe sabahı yolculuğunuz’ diyen bir mesaj aldığınızı hayal edin; o yolculukları hiç yapmamışken.
Bir gösteride Elsallamy bana, şüphesiz Uber’den gelmiş gibi görünen ve önemsiz değil, doğrudan gelen kutuma düşen şu e-posta mesajını gönderdi:
Araştırmacı tarafından BleepingComputer’a gönderilen e-posta formu, Uber müşterisini kredi kartı bilgilerini sağlamaya teşvik ediyor.
‘Onayla’ tıklandığında, form metin alanlarını araştırmacı tarafından kurulan bir test sitesine gönderir.
Bununla birlikte, mesajın alt kısmında “bu bir güvenlik açığı Kavram Kanıtıdır” şeklinde açık bir sorumluluk reddi beyanı bulunduğunu ve önceden izin alınarak BleepingComputer’a gönderildiğini unutmayın.
2021 Yeni Yıl Arifesinde araştırmacı, HackerOne hata ödül programı aracılığıyla Uber’e karşı güvenlik açığını sorumlu bir şekilde bildirdi.
Ancak, raporu, teknik kusurun kullanılmasının bir tür sosyal mühendislik gerektirdiğine dair hatalı varsayım üzerine “kapsam dışı” olduğu için reddedildi:
Görünüşe göre bu, Uber’in bu özel kusuru ilk kez reddetmesi değil.
Böcek ödül avcıları Soufiane el Habti ve Shiva Maharaj, sorunu daha önce Uber’e başarılı bir şekilde bildirdiklerini iddia ediyor [1, 2, 3].
57 milyon Uber müşterisi ve sürücüsü risk altında
Sanılanın aksine, bu basit bir durum değil. e-posta sahtekarlığı tehdit aktörleri tarafından kimlik avı e-postaları oluşturmak için kullanılır.
Aslında, araştırmacı tarafından “Uber’den” BleepingComputer’a gönderilen e-posta her ikisini de geçti DKIM ve DMARC tarafımızca görülen e-posta başlıklarına göre güvenlik kontrolleri.
Araştırmacının e-postası şu şekilde gönderildi: SendGrid, önde gelen şirketler tarafından kullanılan bir e-posta pazarlama ve müşteri iletişim platformu.
Ancak Elsallamy, BleepingComputer’a bunun kusurdan sorumlu Uber sunucularında açıkta kalan bir uç nokta olduğunu ve herkesin Uber adına bir e-posta oluşturmasına izin verdiğini söyler.
Elsallamy, güvenlik açığının “Uber’in e-posta uç noktalarından birine bir HTML enjeksiyonu” olduğunu söylüyor. 2019’da keşfedilen benzer kusur Kalem testçisi Youssef Sammouda tarafından Meta’nın (Facebook’un) sunucularında.
Meta’nın durumunda, son nokta şununla aynı görünüyordu:
https://legal.tapprd.thefacebook.com/tapprd/Portal/ShowWorkFlow/AnonymousEmbed/XXXXXXXXXXXXX
Anlaşılır bir şekilde, güvenlik nedenleriyle araştırmacı, savunmasız Uber uç noktasını açıklamadı.
o sorgulandı Uber, “Gelin [calculator] ve bu güvenlik açığı 57 milyon e-posta ile kullanılmış olsaydı sonucun ne olacağını söyle [addresses that leaked] son veri ihlalinden mi?”
“Sonucu biliyorsanız, böcek ödül triyaj ekibindeki çalışanlarınıza söyleyin.”
Elsallamy, Uber’in kişisel bilgilerini ifşa eden 2016 veri ihlaline atıfta bulunuyor. 57 milyon Uber müşterisi ve sürücüsü.
Bu aksilik için, Birleşik Krallık Bilgi Komisyonu Ofisi (ICO), Uber’e 385.000 £ ve Hollanda’daki veri koruma otoritesi (Autoriteit Persoonsgegevens) şirkete 600.000 € para cezası verdi.
Bu yama uygulanmamış güvenlik açığından yararlanan saldırganlar, daha önce ihlalden etkilenen milyonlarca Uber kullanıcısına hedefli kimlik avı dolandırıcılığı gönderebilir.
Uber’in kusuru gidermek için ne yapabileceği sorulduğunda, araştırmacı şu tavsiyede bulunuyor:
Elsallamy, BleepingComputer’a verdiği demeçte, “Kullanıcıların girişlerini güvenlik açığı bulunan açıklanmayan biçimde temizlemeleri gerekiyor. HTML oluşturulduğundan, HTML varlık kodlaması yapmak için bir güvenlik kodlama kitaplığı kullanabilirler, böylece herhangi bir HTML metin olarak görünür.”
BleepingComputer, yayınlamadan çok önce Uber’e ulaştı, ancak şu anda haber alamadı.
Uber kullanıcıları, çalışanları, sürücüleri ve ortakları, Uber’den gönderilen ve meşru gibi görünen kimlik avı e-postalarına dikkat etmelidir, çünkü bu kusurun tehdit aktörleri tarafından kullanılması bir olasılık olarak kalır.
Güncelleme 11:55 AM: 2015/16 ve Mart 2021’de bildirilen ancak reddedilen aynı kusura referans eklendi.