info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

یک نقص امنیتی بحرانی دیگر در اوبر

خلاصه: به گزارش یک محقق امنیتی، اوبر برنامه‌ای برای رفع یک نقص امنیتی بحرانی در پروتکل احراز اصالت دو فاکتوریش ندارد. با استفاده از این آسیب‌پذیری مهاجمان می‌توانند این پروتکل را دور زده و کارهای مخربی را انجام دهند. این اولین باری نیست که این کمپانی گزارش‌های امنیتی مربوط به زیرساخت یا نرم‌افزارش را نادیده می‌گیرد، و این کار احتمالا همانند گذشته به زیان این کمپانی تمام خواهد شد، چراکه یکی از مهم‌ترین فاکتورها در مورد کسب‌وکارهای اینترنتی ایجاد امنیت کامل برای کاربران می‌باشد.

 

یک محقق امنیتی هندی آسیب‌پذیری امنیتی بحرانی را در پروتکل احراز اصالت دوفاکتوری استفاده شده توسط اوبر کشف کرد. این پروتکل از حساب کاربری افراد در برابر hijack محافظت کرده و از قرار گرفتن داده‌هایشان در معرض هکرها جلوگیری می‌کند.

از طرف دیگر این آسیب‌پذیری به مهاجمان امکان دور زدن ۲FA را می‌دهد که این موضوع می‌تواند آن را به سمت انجام کارهایی مخرب شامل هک یک حساب و تغییر نام کاربری و پسورد آن هدایت کند.

به عبارت دیگر ۲FA یک لایه‌ی امنیتی اضافه است که به‌عنوان احراز اصالت دوفاکتوری شناخته می‌شود، برای این نوع احراز اصالت نه تنها به یک رمز عبور و نام کاربری نیاز است، بلکه به یک فاکتور دیگر نیز نیاز می‌باشد. برای مثال این فاکتور می‌تواند شامل اطلاعاتی باشدکه ففط کاربر می‌داند مانند یک توکن فیزیکی یا یک کد.

در این مورد ، این آسیب‌پذیری به اوبر فرستاده شد اما پاسخ اوبر این بود که "این گزارش حاوی اطلاعات مفیدی است اما نیازی به یک اقدام یا رفع فوری ندارد."

اوبر از احراز اصالت دو فاکتوری در وضعیت‌هایی مانند login های مشکوک استفاده می‌کند، و یک کد چندثانیه‌ای برای دستگاه کاربر به منظور تایید او ارسال می‌کند. یافته‌های محققان نشان می دهد که یک هکر می‌تواند امنیت ۲FA را بدون حتی وارد کردن کد درست به خطر بیندازد.

اگر شما یک هکر یا یک محقق امنیتی هستید که به گزارش آسیب‌پذیری‌ها به به اوبر علاقمندید باید از شدت آسیب‌پذیری مورد نظرتان مطمئن باشید، چرا که سوابق نشان می‌دهد هرگز مشخص نیست چه چیزی برای این کمپانی جدی است و چه چیزی نیست. به هرحال این اولین باری نیست که اوبر یافته‌های کسی را در مورد نقص‌های امنیتی بحرانی در زیرساخت آنلاینش، رد می‌کند.

اوبر به مجرمان سایبری باج می‌پردازد ولی برای کار هکرهای خوب ارزشی قائل نیست. آخرین باری که اوبر در حوزه‌ی امنیت خبرساز شده بود در نوامبر ۲۰۱۷ بود. طبق گزارش‌ها این کمپانی درگیر یک افشای امنیتی بزرگ شده و هکرها داده‌های خصوصی ۷۵ میلیون کاربر اوبر را دزدیده‌بودند. در عوض اوبر ۱۰۰۰۰۰دلار به هکرها برای پنهان کردن این افشا پرداخت کرد.

در این افشا، دو هکر فایل‌هایی حاوی نام‌ها و شماره‌های مجوز ۶۰۰۰۰۰ راننده از ایالات متحده آمریکا و داده‌های شخصی مانند نام، آدرس ایمیل و شماره موبایل ۵۷ میلیون کاربر اوبر را دزدیدند.

  اگر این کمپانی همین شیوه را در برخورد با محققان امنیتی در پیش بگیرد احتمالا محققان ارائه‌ی گزارش در مورد یافته‌های خود به اوبر را متوقف خواهند کرد. توجه داشته باشید که شرکت‌هایی مانند گوگل و مایکروسافت تیم‌های امنیتی خود را دارند اما به محققان امنیتی و شرکت‌های امنیتی مستقل نیز برای گزارش آسیب‌پذیری‌ها و بدافزارها به آن‌ها وابسته هستند و این برای هردو کاملا موفقیت‌آمیز بوده است.

 

مهم است که شرکت‌ها و کسب‌وکارهای مبتنی بر اینترنت به امنیت نر‌م‌افزارها و زیرساخت‌های خود اهمیت دهند، این اهمیت زمانی که نرم‌افزارها مستقیما با داده‌های شخصی کاربران سروکار دارند بیشتر شده و لازم است که همه‌ی جوانب امنیتی برای حفظ حریم خصوصی کاربر و امنیت اطلاعات مشتریان در نظر گرفته شود چراکه از بدترین نتایج حوادث امنیتی از بین رفتن اعتبار کسب‌وکارهاست.