Eine bedeutende Sicherheitslücke in Über‘s E-Mail-System ermöglicht angeblich jedem, E-Mails von der offiziellen Uber.com-Domain des Unternehmens zu senden. Uber mit Hauptsitz in San Francisco, Kalifornien, ist einer der größten Taxi-Aggregatoren mit Niederlassungen in Dutzenden von Ländern weltweit. Das Unternehmen soll rund 69 Prozent des Mitfahrmarktes in den USA halten, der Rest entfällt auf Lyft.
Wie die meisten anderen Technologieunternehmen verfügt Uber auch über ein Bug-Bounty-Programm, das Belohnungen für das Aufspüren von Schwachstellen in den Softwaresystemen des Unternehmens auszahlt. Das Unternehmen zahlte im Laufe der Jahre mehr als 2,8 Millionen US-Dollar an Bug-Bounty, davon 16.000 US-Dollar in den letzten 90 Tagen, aber diese spezielle Schwachstelle im E-Mail-System bleibt bis jetzt ungepatcht. Uber hat im Laufe der Jahre bereits mehrere Kontroversen ertragen, und das Letzte, was es will, ist, ein neues Sicherheitsproblem zu schaffen, indem es den E-Mail-Bug nicht ernst nimmt.
Mehrere Sicherheitsforscher haben Berichten zufolge einen schwerwiegenden Fehler im E-Mail-System von Uber entdeckt, der es Unbefugten ermöglicht, E-Mails von der Domain Uber.com zu senden. Forscher behaupten, dass ein exponierter Endpunkt auf den Uber-Servern der Grund für das Problem ist, obwohl das Unternehmen anscheinend nicht die Mühe macht, es zu beheben. Beschreiben der Schwachstelle gegenüber Piepsender Computer, Sicherheitsforscher und Bug-Bounty-Jäger Seif Elsallamy sagte, dass der Fehler „eine HTML-Injection in einen der E-Mail-Endpunkte von Uber“ und kann sowohl DKIM- als auch DMARC-Sicherheitsprüfungen bestehen, um die E-Mail-Postfächer der Leute zu erreichen.
Elsallamy sendet auch eine Proof-of-Concept-E-Mail an Piepsender Computer von der Domäne Uber.com mithilfe von SendGrid, einer E-Mail-Marketing- und Kundenkommunikationsplattform, um zu zeigen, wie einfach es ist, den exponierten Endpunkt auszunutzen. Elsallamy gab jedoch den anfälligen Uber-Endpunkt nicht bekannt, da dies ein Sicherheitsproblem für das Unternehmen, seine Kunden und Fahrerpartner geschaffen hätte. Bis zum 3. Januar bleibt die Sicherheitsanfälligkeit ungepatcht und könnte es böswilligen Akteuren ermöglichen, Phishing-E-Mails an Uber-Benutzer zu senden, deren E-Mail-IDs bei einer Datenpanne im Jahr 2016 durchgesickert sind.
Bemerkenswerterweise scheint Uber nicht daran interessiert zu sein, die Sicherheitslücke zu schließen, obwohl er von mehreren Forschern mehrmals auf das Problem aufmerksam gemacht wurde. Im Fall von Elsallamy wurde sein Bericht, obwohl er das Problem im Rahmen des HackerOne-Bug-Bounty-Programms an Uber gemeldet hatte, als abgelehnt abgelehnt “außer Reichweite.” Derselbe Fehler war zuvor von mindestens zwei anderen Sicherheitsforschern gemeldet worden, und sie erhielten anscheinend auch ähnliche Antworten von Uber.
Tatsächlich wurde das Problem bereits 2015/16 zum ersten Mal entdeckt, aber von Uber abgewiesen. Das Problem wurde im März 2021 erneut gemeldet, nur um erneut abgelehnt zu werden. Nun, da es eine breite Medienberichterstattung findet, wird es interessant sein zu sehen, ob Uber endlich seine Taten zusammenfasst und diese langjährige Sicherheitslücke ein für alle Mal schließt.
Quelle: Piepsender Computer