Μια ευπάθεια στο σύστημα email της Uber επιτρέπει σχεδόν σε οποιονδήποτε να στέλνει email εκ μέρους της εταιρείας.
Δείτε επίσης: Uber: Παρακολουθεί την πτήση σας για να σας περιμένει ταξί μόλις προσγειωθείτε!
Ο ερευνητής που ανακάλυψε αυτό το ελάττωμα προειδοποιεί ότι αυτή η ευπάθεια μπορεί να καταχραστεί από hackers για την αποστολή email σε 57 εκατομμύρια χρήστες και οδηγούς της Uber, των οποίων οι πληροφορίες διέρρευσαν σε μία παραβίαση δεδομένων το 2016.
Η εταιρεία φαίνεται να γνωρίζει το ελάττωμα, αλλά δεν έχει κάνει κάποια ενέργεια για να το διορθώσει προς το παρόν.
Ο ερευνητής ασφαλείας Seif Elsallamy, ανακάλυψε το εν λόγω ελάττωμα στα συστήματά της.
Αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου, που αποστέλλονται από τους διακομιστές της Uber, θα φαίνονται νόμιμα σε έναν πάροχο ηλεκτρονικού ταχυδρομείου και θα προσπερνούν τα φίλτρα ανεπιθύμητης αλληλογραφίας.
Δείτε ακόμα: Uber και Lyft θα προσφέρουν δωρεάν κούρσες σε εμβολιαστικά κέντρα
Φανταστείτε να λαμβάνετε ένα μήνυμα από την υπηρεσία που λέει: “Το Uber σας φτάνει τώρα” ενώ δεν ζητήσατε ποτέ μία κούρσα.
Την παραμονή της Πρωτοχρονιάς του 2021, ο ερευνητής ανέφερε υπεύθυνα την ευπάθεια στην Uber μέσω του προγράμματος επιβράβευσης σφαλμάτων HackerOne.
Ωστόσο, η έκθεσή του απορρίφθηκε επειδή ήταν “εκτός πεδίου εφαρμογής” με την εσφαλμένη υπόθεση ότι η εκμετάλλευση του τεχνικού ελαττώματος καθεαυτή απαιτούσε κάποια μορφή social engineering.
Φαίνεται ότι δεν είναι η πρώτη φορά που η εταιρεία απορρίπτει αυτό το συγκεκριμένο ελάττωμα.
Οι ερευνητές Soufiane el Habti και Shiva Maharaj ισχυρίζονται ότι είχαν αναφέρει επίσης το ζήτημα στην Uber χωρίς επιτυχία.
Δείτε επίσης: Uber: $1,1 εκατομμύρια σε τυφλή γυναίκα που οδηγοί αρνήθηκαν να μεταφέρουν 14 φορές
Εκμεταλλευόμενοι αυτήν την ευπάθεια που δεν έχει επιδιορθωθεί, οι hackers μπορούν ενδεχομένως να στείλουν στοχευμένες απάτες ηλεκτρονικού ψαρέματος σε εκατομμύρια χρήστες της Uber που είχαν επηρεαστεί προηγουμένως από την παραβίαση.
Οι χρήστες, το προσωπικό, οι οδηγοί και οι συνεργάτες της Uber θα πρέπει να προσέχουν για τυχόν μηνύματα ηλεκτρονικού “ψαρέματος” που αποστέλλονται από την υπηρεσία ακόμα κι αν φαίνονται αξιόπιστα, καθώς η εκμετάλλευση αυτού του ελαττώματος από κακόβουλους παράγοντες παραμένει πιθανή.
