示意圖,與新聞事件無關。

圖片來源: 

Uber

Uber周一悄悄修補兩天前研究人員爆料被Uber草率忽視的雙因素驗證(two-factor authentication, 2FA)漏洞。
 
ZDNET周一報導,印度籍安全研究人員Karan Saini在Uber發送給叫車用戶密碼作為身份驗證的過程中有項漏洞,致使2FA可被繞過。但在他透過Uber舉辦的抓漏大賽通報後,Uber承辦人員以「不很嚴重」回絕,於是Saini轉向媒體爆料。
 
這個漏洞發生在使用者登入Uber平台時,平台驗證用戶帳號的過程中。當2FA輸入密碼的對話框跳出時,在同一瀏覽器連線(session)的Uber「Help」子網域輸入帳戶的同一組電子郵件及密碼,就能繞過這個對話框而登入平台。這意謂著其他人,包括駭客只要在網路上搜尋或從黑市中買到Uber帳密的人,都可以冒用身分在Uber平台上做任何事。
 
Saini本月透過主辦Uber抓漏賞金大賽的HackerOne通報該漏洞,不過通報隨即遭回絕,Uber方面給予的評價是有資訊參考價值(informative)。根據HackerOne網站的定義,這個詞的意思是該通報「具有用資訊,但不會導致立即行動或修復。安全團隊可以考慮其他風險評估或其他緩解因素。」
 
ZDNET引述當時Saini接到Uber安全工程經理的回覆內容,指出「這並不是太嚴重的通報(漏洞),也是預期中的行為」,以此拒絕這項通報。對方還表示,Uber僅在某些「可疑呼叫」下使用2FA,不是所有裝置、所有帳號都有的設定。
 
Saini反問,以自己的IP、作業系統及瀏覽器登入自己的Uber帳號,這行為不知哪點可疑?
 
Uber方面還回覆媒體,強調這並不是驗證繞過的漏洞,而是近日該公司因為接獲不少用戶抱怨某個網頁上的2FA問題,因而展開多方測試,可能導致這個現象發生。Uber表示,該公司系統已使用機器學習技術,而非只仰賴2FA來強化可疑登入的檢測。
 
有趣的是,Uber雖然聲稱這不是漏洞,但仍在周一悄悄將之修補並證實此事。不過並未通知原始通報研究人員。
 
這已不是Uber第一次掩蓋漏洞事實。Uber去年11月承認2016年底曾遭駭客入侵,讓駭客盜走了5700萬名Uber乘客與司機的資料,當時Uber安全長Joe Sullivan私下支付10萬美元予駭客,要求駭客銷毀資料。事情曝光後,Sullivan已「被離職」負責。

 


Advertisement

更多 iThome相關內容