近日，安全研究員發(fā)現(xiàn)Uber居然對一個可以讓攻擊者繞過雙重身份認(rèn)證的安全漏洞“視而不見”，因為在它看來這個漏洞不是一個“特別嚴(yán)重”的問題！

雙重身份認(rèn)證（2FA）是保護(hù)在線賬戶的重要組成部分。它為用戶可能會被竊取的賬戶和密碼上添加了第二層安全保護(hù)傘，比如，向用戶的手機(jī)發(fā)送一條短信，才可以繼續(xù)進(jìn)行訪問。

近年來，許多網(wǎng)站都在使用雙重身份認(rèn)證，如亞馬遜、Facebook和谷歌。它們在安全問題上都采取了雙重措施，因為黑客攻擊事件層出不窮，他們盜取了數(shù)十億用戶的密碼，之后使用這些密碼來登錄和接管賬戶。去年晚些時候，Uber隱瞞了其系統(tǒng)的漏洞，而在該系統(tǒng)中，有5700萬用戶的信息被泄露。

雖然Uber于2015年開始在其系統(tǒng)上測試并使用雙重身份認(rèn)證，但該公司尚未將這一安全功能廣泛推向用戶。然而許多用戶需要定期發(fā)送兩次驗證碼以便登錄，這些驗證碼會被發(fā)送到他們用來乘車的手機(jī)上。新德里的安全研究員 Saini發(fā)現(xiàn)了這個漏洞。于是他向HackerOne提交了一份漏洞報告，但是他的報告很快被拒絕了。Uber將這一錯誤報告標(biāo)記為“信息性的”，意思是它包含了“有用的信息，但不能立即采取行動或展開修復(fù)。Uber的安全工程經(jīng)理表示：“這不是一個特別嚴(yán)重的漏洞，也可能是預(yù)期行為?！?/p>

該漏洞利用了Uber在登錄平臺時對用戶進(jìn)行身份驗證的弱點。最終的結(jié)果是，用戶可以在不輸入正確驗證碼的情況下，繞過雙重身份認(rèn)證，進(jìn)入另一個賬戶。也就是說任何人都可以使用某人的電子郵件地址和密碼登錄到他的帳戶，如果密碼在其他被黑的網(wǎng)站上重復(fù)使用，就可以很容易被獲取。Uber的賬戶通常會在黑網(wǎng)上進(jìn)行交易，在某些情況下，只需花費一美元。

ice

收藏 海報分享