Uber对一个可以让攻击者绕过双重身份认证的安全漏洞“视而不见”,因为在它看来这个漏洞不是一个“特别严重”的问题。
双重身份认证(2FA)是保护在线账户的重要组成部分。它为用户可能会被窃取的账户和密码上添加了第二层安全保护伞,比如,向用户的手机发送一条短信,才可以继续进行访问。
近年来,许多网站都在使用双重身份认证,如亚马逊、Facebook和谷歌。它们在安全问题上都采取了双重措施,因为黑客攻击事件层出不穷,他们盗取了数十亿用户的密码,之后使用这些密码来登录和接管账户。去年晚些时候,Uber隐瞒了其系统的漏洞,而在该系统中,有5700万用户的信息被泄露。
虽然Uber于2015年开始在其系统上测试并使用双重身份认证,但该公司尚未将这一安全功能广泛推向用户。许多用户需要定期发送两次验证码以便登录。这些验证码会被发送到他们用来乘车的手机上。
但是这个双重验证可以被绕过,使得安全保护的第二层无效,新德里的安全研究员Karan Saini发现了这个漏洞。
他向HackerOne提交了一份漏洞报告,但是他的报告很快被拒绝了。Uber将这一错误报告标记为“信息性的”,意思是它包含了“有用的信息,但不能立即采取行动或展开修复。”
Uber的安全工程经理Rob Fletcher在回应Saini的错误报告时表示:“这不是一个特别严重的漏洞,也可能是预期行为。”
报告被拒绝后,Saini找到相关的媒体,说道:“如果这不是一个安全特性,那为什么还要有它呢?如果2FA不能达到某种安全目的,为什么还要用它呢?”
该漏洞利用了Uber在登录平台时对用户进行身份验证的弱点。最终的结果是,用户可以在不输入正确验证码的情况下,绕过双重身份认证,进入另一个账户。也就是说任何人都可以使用某人的电子邮件地址和密码登录到他的帐户,如果密码在其他被黑的网站上重复使用,就可以很容易被获取。Uber的账户通常会在黑网上进行交易,在某些情况下,只需花费一美元。
Uber的发言人Melanie Ensign称,这一漏洞“不是被忽视了,很可能是由于安全团队正在进行的测试,以评估和改进不同技术的有效性”以确保账户的安全。
“当某些请求被认为是可疑情况的时候,Uber会启动双重身份认证,”Fletcher在错误报告中对Saini说道,“并不是每个设备上的账户都会这样的。”
Ensign表示,该公司使用“机器学习来执行基于风险的认证,默认是所有乘客和司机的账户。”该公司使用了数百个信号(由Gizmodo于2016年首次披露),以检测潜在的可疑行为,比如未经授权的登录和欺诈。
Saini则回应表示:“我不明白,为什么从自己的IP地址,操作系统和浏览器中登录自己的账号会被认为是可疑行为。”另外,Saini也表示,自己并不是第一个发现这个双重身份漏洞的人。Uber漏洞悬赏项目的经理Lindsey Glovin表示“曾收到过几份关于这一漏洞的报告”。
译者:Sandy
声明:本文来自云有料,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。