一向被質疑其安全性的 Uber 再被揭在無通報下修補安全漏洞。印度媒體 ZDNET 報道指,早前有研究員向 Uber 通報 Uber 系統存在雙因素驗證(two-factor authentication, 2FA)漏洞時被冷待,但兩日後即將問題修復的事件。
ZDNET 稱,印度籍安全研究員 Karan Saini 在參加 Uber 舉辦的程式漏洞通報賽 HackerOne 時發現,在Uber發送給叫車用戶密碼作為身份驗證的過程中有項漏洞,令黑客可透過在平台驗證用戶帳號的過程中以2FA輸入密碼的對話框跳出時,在同一瀏覽器連線(session)的 Uber「Help」子網域輸入帳戶的同一組電子郵件及密碼,就能繞過 2FA對話框而登入平台。
未積極回應但悄然收復
雖然發現了安全漏洞,而 HackerOne 亦在賽後將問題通報給 Uber ,但 Uber 當時並未有積極跟進,僅認為該通報是有具有資訊參考價值(informative),即意味通報「具有用資訊,但不會導致立即行動或修復。安全團隊可以考慮其他風險評估或其他緩解因素」。
而 Uber 的回應比 HackerOne 更冷淡,明言不是太嚴重的通報(漏洞),是預期中的行為, 僅表示近日 Uber 接獲不少用戶不滿個別網頁上的2FA問題,因而展開多方測試,發現可能導致現象發生的問題。Uber 又表示,目前已使用Machine Learning 作輔助,並非單靠 2FA強化可疑登入的檢測。雖然 Uber 對研究員的通報表面上並未予以重視,但 Uber 團隊選擇在周一晚上對漏洞作出修復,而過程中並未知匯 Karan Saini 。 Uber 這次的做法,是繼 2016 年 11 月試圖掩蓋讓黑客盜走了5700萬名Uber乘客與司機的資料後,被質疑是再次掩蓋漏洞。
