Uber：安全漏洞威胁5700万用户数据

Uber 的电子邮件系统存在严重的安全漏洞。据计算机安全研究员 Seif Elsallamy 称，该漏洞可被利用向 5700 万 Uber 用户和司机发送电子邮件，这些用户和司机的数据已在 2016 年的一次重大黑客攻击中泄露。

Uber 的电子邮件系统存在严重的安全漏洞。根据计算机安全研究员 Seif Elsallamy 的说法，攻击者可以利用它来代表公司向超过 5700 万用户和司机发送电子邮件。正如专家指出的那样，这数百万人的数据，包括电子邮件地址和电话详细信息，在 2016 年 Uber GitHub 服务器遭到黑客攻击时遭到泄露。

当时，我们了解到所有法国 Uber 客户均受到影响，即 140 万用户。 CNIL 还因未能保护客户数据而责令该公司支付 40 万欧元。但回到这个安全缺陷。

据研究人员称，这些电子邮件将直接从 Uber 服务器发送，并且对于 Gmail 等电子邮件服务提供商来说可能显得合法。同时，这也是问题所在：这些电子邮件“从技术上讲”是合法且合法的。因此很自然地就溜进了反垃圾邮件网络的缝隙。另一方面，电子邮件的作者可能是恶意的。

另请阅读：网络钓鱼——黑客针对 Uber 子公司的送货员

为了说明这一情况，Seif Elsallamy 利用该缺陷代表 Uber 向专业网站 BleedingComputer 的记者发送了一封电子邮件。正如我们的同事指出的那样，电子邮件直接到达他的收件箱，而不是在不需要的地方。在研究人员的电子邮件中，客户被邀请提供他们的银行详细信息，Uber 声称账户被暂停。这是完美利用该缺陷的例子，黑客可以利用 Uber 的合法性来滥用客户的信任，发起大型网络钓鱼活动。

2021 年除夕夜，研究人员通过 Uber 的 bug 搜寻计划向 Uber 报告了他的发现。然而，他的报告被拒绝了，该公司确保利用这一缺陷需要某种形式的社会工程。然而，Seif Elsallamy 的态度很明确：Uber 服务器上公开的访问点确实允许任何人以公司的名义创建电子邮件。更准确地说，是“将 HTML 注入 Uber 的消息终端之一”，他保证。

那么谁错了呢？谁是对的？请注意，这并不是第一次向 Uber 报告此缺陷。过去，研究人员 Soufiane el Habti 和 Shiva Maharaj 警告过 Uber 这个问题，但没有引起他们的任何反应。实际上，当您收到 Uber 发来的电子邮件时应谨慎行事，即使它是合法的。

来源 ：出血电脑