Właściciel aplikacji nie reaguje

57 milionów użytkowników i kierowców, których dane wyciekły w 2016 roku jest narażonych na hakerski atak z wykorzystaniem e-maili otrzymanych w imieniu przewoźnika.

Na trop luki w systemie wpadł badacz zagadnień bezpieczeństwa seifel sallamy, który na Twitterze (posługując się pseudonimem SAFE) poinformował o niej Ubera, a następnie przesłał wiadomość jako Uber for Business do redakcji serwisu BleepingComputer, prosząc o podanie wrażliwych danych karty kredytowej.

Na szczęście o wiadomości redakcja serwisu została wcześniej powiadomiona, a w treści znalazło się wyraźne zastrzeżenie, że wykorzystuje ona lukę w zabezpieczeniach.

Badacz wysłał raport Uberowi, który go odrzucił. Inni specjaliści twierdzą, że już wcześniej informowali przewoźnika o luce – z podobnym skutkiem.

Nie jest to tylko kwestia zwykłego fałszowania wiadomości, ponieważ e-mail przeszedł testy DKIM i DMARC, czyli  został zaakceptowany przez narzędzia uwierzytelniania e-maili przeznaczone do wykrywania sfałszowanych adresów nadawców i ochrony ich domeny przed nieautoryzowanym użyciem.

Serwis BleepingComputer ostrzega, że wszyscy użytkownicy, pracownicy, kierowcy i współpracownicy Ubera powinni uważać na wiadomości phishingowe, które wydają się uzasadnione, ponieważ wykorzystanie tej luki przez cyberprzestępców jest nadal możliwe.

fot. Humphrey Muleba – Unsplash