Uber.comから任意でメールを送信できる脆弱性をUberが無視していた

Uberのメールシステムの脆弱性により、ほぼ誰でもUberの代理としてメールを送信することができるような状態になっていたことがわかりました。

Uber、誰でもUberとメールできる脆弱性を否定!?

この欠陥を発見した研究者は、この脆弱性を攻撃社が悪用し、2016年のデータ流出で情報が流出した5700万人のUberユーザーとドライバーにメールを送ることができると警告しています。

Uberはこの欠陥を認識しているようですが、今のところ修正されてにあようです。

セキュリティ研究者でバグバウンティハンターのSeif Elsallamyは、Uberのシステムに誰でもUberに代わってメールを送信することができる不具合を発見しました。

Uberのサーバーから送信されたこれらのメールは、メールプロバイダーからは正規のメールに見え(技術的には正規なので)、あらゆるスパムフィルターを通過することができます。

Uberから「Uberが今到着します」「木曜日の朝のUberでの移動」というメッセージを受け取ることを想像してみてください-あなたはそのような移動を予約したことはないのに

研究者が送信したメールフォームは、Uberの顧客にクレジットカード情報を提供するよう促しています。

「確認」をクリックすると、研究者が設定したテストサイトにテキストフィールドが送信されます。

2021年の大晦日、研究者は責任を持ってUberのHackerOneバグバウンティプログラムを通じて、この脆弱性を報告しました。

しかし、技術的欠陥の悪用には何らかのソーシャルエンジニアリングが必要であるという誤った思い込みから、彼の報告は「対象外」であるとして却下されました。

Uberがこの特定の欠陥を否定したのも、今回が初めてではないようです。

バグバウンティハンターのSoufiane el HabtiとShiva Maharajは、以前にUberに問題を報告したが成功しなかったと主張しています。

5700万人のUber顧客とドライバーを危険にさらす

これは、脅威者がフィッシングメールを作成するために使用するメールスプーフィングという簡単な話ではありません。

実際、研究者が「Uberから」テストで送ったメールはメールヘッダによると、DKIMとDMARCの両方のセキュリティチェックを通過しています。

研究者のメールは、大手企業が利用するメールマーケティングおよび顧客コミュニケーションプラットフォームであるSendGridを経由して送信されました。

しかし、Elsallamy氏は、この欠陥の原因はUberのサーバーにある露出したエンドポイントであり、誰でもUberの代理としてメールを作成することが可能であると述べています。

この脆弱性は「Uberのメールエンドポイントの1つにおけるHTMLインジェクション」だとElsallamy氏は言い、ペンテスターのYoussef Sammouda氏が2019年にMeta(Facebook)のサーバーで発見した同様の欠陥と比較を試みています。

当然のことながら、セキュリティ上の理由から、研究者は脆弱なUberのエンドポイントを公表していません。

この災難に対して、イギリスの情報コミッショナー事務所(ICO)はUber社に38万5000ポンドの罰金を、オランダのデータ保護当局(Autoriteit Persoonsgegevens)は60万ユーロの罰金を科していました。

この未パッチの脆弱性を悪用することで、攻撃者は過去に侵害の影響を受けた数百万人のUberユーザーに標的型フィッシング詐欺を送りつけることができる可能性があります。

研究者は次のようにアドバイスしています。

脆弱性のある非公開のフォームに入力されたユーザーの入力をサニタイズする必要があります。

HTMLがレンダリングされるので、セキュリティ・エンコーディング・ライブラリを使用してHTMLエンティティエンコーディングを行い、どんなHTMLもテキストとして表示されるようにするかもしれません

Uberのユーザー、スタッフ、ドライバー、および関係者はUberから送信される正規に見えるフィッシングメールに注意する必要があり、攻撃者がこの欠陥を悪用する可能性が残っています。

コメントを残す

メールアドレスが公開されることはありません。