近日，安全研究員發(fā)現(xiàn)Uber居然對(duì)一個(gè)可以讓攻擊者繞過雙重身份認(rèn)證的安全漏洞“視而不見”，因?yàn)樵谒磥磉@個(gè)漏洞不是一個(gè)“特別嚴(yán)重”的問題！

雙重身份認(rèn)證（2FA）是保護(hù)在線賬戶的重要組成部分。它為用戶可能會(huì)被竊取的賬戶和密碼上添加了第二層安全保護(hù)傘，比如，向用戶的手機(jī)發(fā)送一條短信，才可以繼續(xù)進(jìn)行訪問。

近年來，許多網(wǎng)站都在使用雙重身份認(rèn)證，如亞馬遜、Facebook和谷歌。它們?cè)诎踩珕栴}上都采取了雙重措施，因?yàn)楹诳凸羰录映霾桓F，他們盜取了數(shù)十億用戶的密碼，之后使用這些密碼來登錄和接管賬戶。去年晚些時(shí)候，Uber隱瞞了其系統(tǒng)的漏洞，而在該系統(tǒng)中，有5700萬用戶的信息被泄露。

雖然Uber于2015年開始在其系統(tǒng)上測(cè)試并使用雙重身份認(rèn)證，但該公司尚未將這一安全功能廣泛推向用戶。然而許多用戶需要定期發(fā)送兩次驗(yàn)證碼以便登錄，這些驗(yàn)證碼會(huì)被發(fā)送到他們用來乘車的手機(jī)上。新德里的安全研究員 Saini發(fā)現(xiàn)了這個(gè)漏洞。于是他向HackerOne提交了一份漏洞報(bào)告，但是他的報(bào)告很快被拒絕了。Uber將這一錯(cuò)誤報(bào)告標(biāo)記為“信息性的”，意思是它包含了“有用的信息，但不能立即采取行動(dòng)或展開修復(fù)。Uber的安全工程經(jīng)理表示：“這不是一個(gè)特別嚴(yán)重的漏洞，也可能是預(yù)期行為?！?/p>

該漏洞利用了Uber在登錄平臺(tái)時(shí)對(duì)用戶進(jìn)行身份驗(yàn)證的弱點(diǎn)。最終的結(jié)果是，用戶可以在不輸入正確驗(yàn)證碼的情況下，繞過雙重身份認(rèn)證，進(jìn)入另一個(gè)賬戶。也就是說任何人都可以使用某人的電子郵件地址和密碼登錄到他的帳戶，如果密碼在其他被黑的網(wǎng)站上重復(fù)使用，就可以很容易被獲取。Uber的賬戶通常會(huì)在黑網(wǎng)上進(jìn)行交易，在某些情況下，只需花費(fèi)一美元。

ice

收藏 海報(bào)分享