Kerentanan keamanan
A yang memungkinkan penyerang jahat mengirim email dari jaringan Uber tampaknya telah ditutup – tetapi pengguna bisa saja sudah ditipu. Bug yang mudah ditemukan telah berkeliaran selama bertahun-tahun, siap membawa pelanggan Uber untuk perjalanan yang sangat berbeda.
Menurut peneliti keamanan Seekurity dan pemburu bug Seif Elsallamy, masalah injeksi HTML memungkinkan untuk menyadap ke titik akhir Uber API internal yang menghadap internet untuk mengirim email langsung dari sistem email Uber (perusahaan menggunakan platform SendGrid); karena email akan datang dari pengirim asli, mereka tidak akan memicu filter keamanan email normal seperti DMARC atau DKIM.
Jelas, bug membuka peluang yang menganga bagi penyerang cyber untuk mengirimkan email rekayasa sosial ke hampir 100 raksasa berbagi tumpangan. juta pengguna – mungkin sebuah pesan yang meminta mereka untuk “memverifikasi” info akun mereka atau “memperbarui” informasi kartu kredit mereka.
Elsallamy meneruskan contoh bukti konsep dari kemungkinan email serangan ke BleepingComputer:
Bahaya tampaknya sangat relevan mengingat Uber mengalami pelanggaran data pada tahun 2016 yang melibatkan alamat email 57 juta penggunanya, peneliti menunjukkan:
heck hari ini dengan tim triase, mereka tidak memahami kebijakan mereka sendiri @Uber@Uber_Support@Hacker0x01 pic.twitter.com/kCQqwR3M3b
— AMAN 
(@0x21SAFE) 31 Desember 2021
Dia juga mengirimkan laporan bug melalui HackerOne ke Uber, tetapi masalah itu ditolak karena kesalahan tim triase kenly pikir eksploitasi melibatkan rekayasa sosial karyawan Uber:
Hi @Uber@Uber_Support bawa perhitungan Anda dan beri tahu saya apa yang akan terjadi jika kerentanan ini telah digunakan dengan 57 juta alamat email yang telah bocor dari pelanggaran data terakhir? Jika Anda tahu hasilnya lalu beri tahu karyawan Anda di tim triase bug bounty. pic.twitter.com/f9yKIoCJ6O
— AMAN (@0x21SAFE) 31 Desember 2021
Lebih buruk lagi, dia bukan orang pertama yang melaporkannya dan ditolak; setidaknya dua peneliti lain mengajukan masalah yang sama, dengan hasil yang sama – satu sejak tahun 2015. Itu banyak waktu untuk kemungkinan eksploitasi terjadi.
“Saya tidak memiliki bukti bahwa bug ini telah dieksploitasi di liar, tetapi karena laporan itu telah digandakan, itu berarti setidaknya satu peneliti telah melaporkannya sebelum saya, ”kata Elsallamy kepada Threatpost. “Jadi, sepertinya itu masalah yang mudah dikenali [dan] saya harap itu tidak dieksploitasi di alam liar. Eksploitasi tidak sulit, hanya membutuhkan pengetahuan HTML dan CSS dasar.”
i melaporkan masalah ini di @Hacker0x01 tahun lalu dan triager menutupnya sebagai xD informatif pic.twitter.com/29yxgTV287
— ${jndi:ldap://mainteemoforfun} (@wld_basha) 2 Januari 2022
“Para peneliti dan karyawan Uber hanya melakukan pekerjaan mereka, dan saya mengerti bahwa Uber menerima banyak laporan palsu,” kata Elsallamy kepada Threatpost. “Tetapi mereka setidaknya harus menghabiskan lima menit dalam laporan yang membutuhkan waktu berhari-hari untuk saya persiapkan. Pelanggan Uber adalah yang akan membayar kesalahan kami pada akhirnya.”
Dia mencatat bahwa perbaikannya sederhana: “Masalahnya tidak sulit untuk diperbaiki, saya pikir itu hanya satu atau dua baris kode,” katanya. “Mereka harus membersihkan input pengguna melalui perpustakaan penyandian keamanan, sehingga HTML apa pun muncul sebagai teks biasa.”
Sejak cerita itu dilaporkan awal pekan ini, tampaknya Uber telah memperbaiki kerentanan – “karena saya tidak dapat mereproduksi masalah tersebut. lagi,” kata Elsallamy. Namun, karena tidak diketahui apakah kerentanan telah dieksploitasi pada tahun-tahun keberadaannya, pelanggan yang memberikan informasi pribadi sebagai tanggapan atas email resmi Uber harus segera mengambil tindakan untuk mengubah kata sandi mereka.
Selain itu, “Saya menyarankan pelanggan Uber untuk menggunakan kata sandi, gunakan kartu kredit dengan jumlah uang terbatas yang tersedia secara online jika mereka tidak ingin memegang uang tunai, dan gunakan otentikasi dua faktor bila memungkinkan untuk membatasi kerusakan jika ada data mereka yang telah disusupi,” katanya.
Uber tidak segera membalas permintaan untuk mengomentari cerita ini.
Password Reset: Acara Sesuai Permintaan: Fortify 2022 dengan strategi keamanan sandi yang dibuat untuk ancaman saat ini. Meja Bundar Keamanan Threatpost ini, dibuat untuk para profesional infosec, berpusat pada pengelolaan kredensial perusahaan, dasar-dasar sandi baru, dan mengurangi pelanggaran pasca-kredensial. Bergabunglah dengan Darren James, dengan Specops Software dan Roger Grimes, penginjil pertahanan di KnowBe4 dan pembawa acara Threatpost Becky Bracken. Daftar & streaming sesi GRATIS ini hari ini – disponsori oleh Specops Software.
Tulis komentar
Bagikan artikel ini:
- iKeamanan Web