叫车平台传出 Uber 传出有资安漏洞,骇客可利用漏洞假借 Uber 名义发送电子邮件给用户,要求用户输入信用卡资料,窃取个资;Uber 目前已意识到漏洞,但并没有修复。
国外资安网站 Bleepingcomputer 报导,一名资安研究人员 Seif Elsallamy 发现叫车平台 Uber 有安全漏洞,有心人士可利用这项漏洞,以 Uber 名义发送电子邮件,趁机盗取用户个资。
Elsallamy 也进行概念性验证攻击,藉漏洞透过 Uber 官方账号发送电子邮件给用户,并要求用户输入个人信用卡资料;不仅如此,攻击信件还通过域名金钥辨识邮件(DomainKeys Identified Mail, DKIM)和网域型邮件验证、报告与一致性(DMARC)等安全检查。
报导指出,Uber 于 2016 年也曾爆出资安疑虑,发生个资外泄问题。当时有5,700 万名乘客和司机个资公开,包括姓名、地址、电话号码等,使英国和荷兰监管单位对 Uber 裁罚数十万欧元。
Elsallamy 担心骇客可透过漏洞执行钓鱼信件攻击,以盗取 5,700 万名用户个资。Elsallamy 表示,他透过 Twitter 向 Uber 回报问题,不过 Uber 虽知道,但未有修复漏洞的计划。
- Uber ignores vulnerability that lets you send any email from Uber.com
(首图来源:Flickr/Stock Catalog CC BY 2.0)
