圖片來源: 

Uber

一名安全研究人員Seif Elsallamy在去年底透過HackerOne抓漏獎勵專案,提交了一個Uber漏洞,該漏洞允許任何人以Uber的名義及官方帳號寄送電子郵件,卻遭到Uber以「超出範圍」(out-of-scope)拒絕。當Elsallamy透過Twitter揭露此一漏洞之後,才發現至少有另外3名安全研究人員在更早之前、就提報了同一個漏洞,且陸續遭到Uber忽略。

Elsallamy在Twitter上公布了他利用@uber.com寄給自己的郵件,另也寄了一封概念性驗證攻擊郵件予《BleepingComputer》,在此一測試郵件中,寄件者欄位為Uber for Business <noreply@uber[.]com>,郵件內容則是誆稱用戶帳號有問題,要求使用者輸入自己的信用卡資訊進行驗證,以展示運用該漏洞而進行的網釣攻擊。

由於Uber曾在2016年遭到駭客入侵,同時外洩5,700萬名Uber乘客與司機的資料,這使得Elsallamy質疑,倘若此一安全漏洞遭到駭客濫用,再佐以這5,700萬筆的外洩資料,那麼後果將不堪設想。

有趣的是,當Elsallamy揭露此一漏洞之後,陸續有其他安全研究人員指出他們也曾提交同一個安全漏洞,但皆遭Uber忽略,其中的Shiva Maharaj甚至表示,他曾在2015年及2016年提交該漏洞,不過Uber並不在乎;另外兩名安全研究人員則是在去年提出,同樣直接被跳過。

迄今Uber尚未回應媒體或公開對外說明此事。


熱門新聞

Advertisement