不知悔改！Uber再曝重大安全漏洞，負責人竟表示「並不嚴重」

本文由雲有料編譯

譯者：Sandy

Uber對一個可以讓攻擊者繞過雙重身份認證的安全漏洞「視而不見」，因為在它看來這個漏洞不是一個「特別嚴重」的問題。

雙重身份認證（2FA）是保護在線賬戶的重要組成部分。它為用戶可能會被竊取的賬戶和密碼上添加了第二層安全保護傘，比如，向用戶的手機發送一條簡訊，才可以繼續進行訪問。

近年來，許多網站都在使用雙重身份認證，如亞馬遜、Facebook和谷歌。它們在安全問題上都採取了雙重措施，因為黑客攻擊事件層出不窮，他們盜取了數十億用戶的密碼，之後使用這些密碼來登錄和接管賬戶。去年晚些時候，Uber隱瞞了其系統的漏洞，而在該系統中，有5700萬用戶的信息被泄露。

雖然Uber於2015年開始在其系統上測試並使用雙重身份認證，但該公司尚未將這一安全功能廣泛推向用戶。許多用戶需要定期發送兩次驗證碼以便登錄。這些驗證碼會被發送到他們用來乘車的手機上。

但是這個雙重驗證可以被繞過，使得安全保護的第二層無效，新德里的安全研究員Karan Saini發現了這個漏洞。

他向HackerOne提交了一份漏洞報告，但是他的報告很快被拒絕了。Uber將這一錯誤報告標記為「信息性的」，意思是它包含了「有用的信息，但不能立即採取行動或展開修復。」

Uber的安全工程經理Rob Fletcher在回應Saini的錯誤報告時表示：「這不是一個特別嚴重的漏洞，也可能是預期行為。」

報告被拒絕後，Saini找到相關的媒體，說道：「如果這不是一個安全特性，那為什麼還要有它呢？如果2FA不能達到某種安全目的，為什麼還要用它呢？」

該漏洞利用了Uber在登錄平台時對用戶進行身份驗證的弱點。最終的結果是，用戶可以在不輸入正確驗證碼的情況下，繞過雙重身份認證，進入另一個賬戶。也就是說任何人都可以使用某人的電子郵件地址和密碼登錄到他的帳戶，如果密碼在其他被黑的網站上重複使用，就可以很容易被獲取。Uber的賬戶通常會在黑網上進行交易，在某些情況下，只需花費一美元。

Uber的發言人Melanie Ensign稱，這一漏洞「不是被忽視了，很可能是由於安全團隊正在進行的測試，以評估和改進不同技術的有效性」以確保賬戶的安全。

「當某些請求被認為是可疑情況的時候，Uber會啟動雙重身份認證，」Fletcher在錯誤報告中對Saini說道，「並不是每個設備上的賬戶都會這樣的。」

Ensign表示，該公司使用「機器學習來執行基於風險的認證，默認是所有乘客和司機的賬戶。」該公司使用了數百個信號（由Gizmodo於2016年首次披露），以檢測潛在的可疑行為，比如未經授權的登錄和欺詐。

Saini則回應表示：「我不明白，為什麼從自己的IP地址，操作系統和瀏覽器中登錄自己的賬號會被認為是可疑行為。」另外，Saini也表示，自己並不是第一個發現這個雙重身份漏洞的人。Uber漏洞懸賞項目的經理Lindsey Glovin表示「曾收到過幾份關於這一漏洞的報告」。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！