有4名研究人员先后发现同一个能滥用Uber官方账号发动网钓攻击的安全漏洞,但他们宣称Uber在得知此事时却态度冷漠或不予回应
一名安全研究人员Seif Elsallamy在去年底通过HackerOne抓漏奖励项目,提交了一个Uber漏洞,该漏洞允许任何人以Uber的名义及官方帐号寄送电子邮件,却遭到Uber以超出范围(out-of-scope)拒绝。 当Elsallamy通过推特揭露此一漏洞之后,才发现至少有另外3名安全研究人员在更早之前、就提报了同一个漏洞,且陆续遭到Uber忽略。
Elsallamy在推特上公布了他利用@uber.com 寄给自己的邮件,另也寄了一封概念性验证攻击邮件予《BleepingComputer》,在此一测试邮件中,发件人字段为Uber for Business <noreply@uber [.] com>,邮件内容则是诓称用户账号有问题,要求用户输入自己的信用卡信息进行验证,以展示运用该漏洞而进行的网钓攻击。
由于Uber曾在2016年遭到骇客入侵,同时外泄5,700万名Uber乘客与司机的数据,这使得Elsallamy质疑,倘若此一安全漏洞遭到骇客滥用,再佐以这5,700万笔的外泄资料,那么后果将不堪设想。
有趣的是,当Elsallamy揭露此一漏洞之后,陆续有其他安全研究人员指出他们也曾提交同一个安全漏洞,但皆遭Uber忽略,其中的Shiva Maharaj甚至表示,他曾在2015年及2016年提交该漏洞,不过Uber并不在乎;另外两名安全研究人员则是在去年提出,同样直接被跳过。
迄今Uber尚未回应媒体或公开对外说明此事。
微信扫一扫
相关推荐
-
Windows 11 启用「寻找我的设备」教学,开启笔记本遗失找回的最后一道希望
Mac 电脑有「Find My Mac」,Windows 笔记本遗失时,有没有相对应的寻找功能呢? 笔记本用 Windows 11 的朋友可要看清楚啦,小编今天要来跟大家分享,如何…
-
Google Chrome 无痕模式遭起诉,存在用户隐私疑虑,Alphabet CEO 被要求出庭作证
2020 年 6 月在加州联邦法院提起的一项诉讼称,谷歌 Chrome 的“无痕模式”(Incognito mode)并不像人们想象的那样非常具有隐私性。 目前,Alphabet …
-
新作《Suicide Squad: Kill the Justice League》宣布延期至 2023 年春季发售!
在今年 2 月份,就有传闻指出《Suicide Squad: Kill the Justice League》将会延至 2023 年发售,而今日官方 Warner Bros. Ga…
-
华擎为下一代Threadripper 7000准备AMD TRX50工作站主板
显然AMD Storm Peak(该公司即将推出的采用Zen4架构的HEDT 平台)发生了很多事情。 泄密事件已经浮出水面,揭示了未发布的Threadripper PRO 7000…
-
《浪人崛起》获玩家好评,Team Ninja将会继续挑战开放世界作品
由曾开发过《仁王》《卧龙:苍天殒落》的团队Team NINJA打造的最新作品《浪人崛起》(Rise of the Ronin),在上周推出后,起初由于媒体评分关系不被看好,没想到游…
