Uber の電子メール システムには重大なセキュリティ脆弱性が存在します。コンピュータ セキュリティ研究者のセイフ エルサラミー氏によると、この脆弱性が悪用されて、2016 年に大規模なハッキングでデータがすでに漏洩した 5,700 万人の Uber ユーザーとドライバーに電子メールが送信される可能性があります。
Uber の電子メール システムには重大なセキュリティ脆弱性が存在します。コンピューター セキュリティ研究者のセイフ エルサラミー氏によると、攻撃者はこれを悪用して次の目的を達成する可能性があると述べています。会社を代表して5,700万人以上のユーザーとドライバーに電子メールを送信する。専門家が指摘しているように、2016 年に Uber の GitHub サーバーがハッキングされた際に、電子メール アドレスや電話番号の詳細を含む数百万人のデータが侵害されました。
その時点で、フランスの Uber 顧客全員、つまり 140 万人のユーザーが影響を受けたことが分かりました。 CNILはまた、顧客データの保護を怠ったとして同社に40万ユーロの支払いを命じた。しかし、このセキュリティ上の欠陥に戻りましょう。
研究者によると、これらのメールは Uber サーバーから直接送信されます、たとえば Gmail などの電子メール サービス プロバイダーにとっては正当なものであるように見える場合があります。同時に、これが問題です。これらの電子メールは「技術的に言えば」正当なものであり、したがって、スパム対策ネットの隙間を自然にすり抜けてしまいます。。一方、電子メールの作成者は悪意がある可能性があります。
こちらもお読みください:フィッシング – ハッカーが Uber 子会社の配達員を狙う
状況を説明するために、セイフ・エルサラミー氏は問題の欠陥を悪用し、専門サイト「BleedingComputer」からウーバーを代表してジャーナリストに電子メールを送信した。私たちの同僚が指摘するように、電子メールは彼の受信箱に直接届きました、望ましくないものではありません。研究者のメールには、顧客は銀行口座の詳細を提供するよう求められます, Uberがアカウント停止を主張。これはこの欠陥を完全に悪用した例であり、ハッカーが Uber の正当性を利用して顧客の信頼を悪用し、大規模なフィッシングキャンペーンを開始します。
2021年の大晦日、研究者は同社のバグハンティングプログラムを通じてウーバーに発見を報告した。しかし、彼の報告は却下され、同社は、この欠陥の悪用にはソーシャル エンジニアリングの形式が必要であることを保証しています。しかし、セイフ・エルサラミー氏は断言する。ウーバー社のサーバー上に公開されたアクセスポイントにより、誰でも会社名で電子メールを作成できるようになるのだ。より正確に言えば、「Uber のメッセージング端末の 1 つへの HTML インジェクション」と彼は断言する。
それで、誰が間違っているのでしょうか?誰が正しいですか?この欠陥が Uber に報告されたのはこれが初めてではないことに注意してください。過去には、研究者のスフィアン・エル・ハブティ氏とシヴァ・マハラジ氏がウーバーにこの問題について警告したが、彼らからは何の反応も引き起こされなかった。実際には、Uber からメールを受信した場合は注意が必要ですたとえそれが合法的であっても。
ソース :出血コンピュータ
