Uber 傳資安漏洞,駭客可假裝官方發送 Mail 盜取用戶個資

作者 | 發布日期 2022 年 01 月 04 日 11:46 | 分類 網路 , 資訊安全 Telegram share ! follow us in feedly


叫車平台傳出 Uber 傳出有資安漏洞,駭客可利用漏洞假借 Uber 名義發送電子郵件給用戶,要求用戶輸入信用卡資料,竊取個資;Uber 目前已意識到漏洞,但並沒有修復。

國外資安網站 Bleepingcomputer 報導,一名資安研究人員 Seif Elsallamy 發現叫車平台 Uber 有安全漏洞,有心人士可利用這項漏洞,以 Uber 名義發送電子郵件,趁機盜取用戶個資。

Elsallamy 也進行概念性驗證攻擊,藉漏洞透過 Uber 官方帳號發送電子郵件給用戶,並要求用戶輸入個人信用卡資料;不僅如此,攻擊信件還通過域名金鑰辨識郵件(DomainKeys Identified Mail, DKIM)和網域型郵件驗證、報告與一致性(DMARC)等安全檢查。

報導指出,Uber 於 2016 年也曾爆出資安疑慮,發生個資外洩問題。當時有5,700 萬名乘客和司機個資公開,包括姓名、地址、電話號碼等,使英國和荷蘭監管單位對 Uber 裁罰數十萬歐元。

Elsallamy 擔心駭客可透過漏洞執行釣魚信件攻擊,以盜取 5,700 萬名用戶個資。Elsallamy 表示,他透過 Twitter 向 Uber 回報問題,不過 Uber 雖知道,但未有修復漏洞的計畫。

(首圖來源:Flickr/Stock Catalog CC BY 2.0)