Phishing: Uber ignoriert Sicherheitslücke

Über eine Sicherheitslücke lassen sich Spam- und Phishing-Mails über die Mailserver von Uber verbreiten. Das Unternehmen ignoriert die Lücke.

Artikel veröffentlicht am ,
Bei E-Mails von Uber sollte man besser vorsichtig sein...
Bei E-Mails von Uber sollte man besser vorsichtig sein... (Bild: DENIS CHARLET/AFP via Getty Images)

Über eine Sicherheitslücke im E-Mail-System des Fahrdienstes Uber können Dritte E-Mails im Namen des Unternehmens versenden. Beispielsweise an die 60 Millionen Uber-Kunden, deren Daten bei einem Datenleck 2016 öffentlich wurden. Bisher hat Uber die Sicherheitslücke nicht behoben.

Stellenmarkt
  1. Referent (m/w/d) für den Bereich Infomationstechnologie
    Katholisches Datenschutzzentrum, Dortmund
  2. Spezialist für IT-Sicherheit (m/w/d)
    ekom21 - KGRZ Hessen, Gießen, Darmstadt, Kassel
Detailsuche

Entdeckt hatte die Lücke der Sicherheitsforscher Seif Elsallamy und in der Silvesternacht an Ubers Bug-Bounty-Programm gemeldet. Laut dem Onlinemagazin Bleepingcomputer hat das Unternehmen die Meldung jedoch nicht angenommen, da es fälschlicherweise davon ausging, dass die Lücke nur mit zusätzlichem Social Engineering - also der erschlichenen Mithilfe von Uber-Angestellten - ausgenutzt werden könne.

Der Sicherheitforscher demonstrierte dem Onlinemagazin die Lücke mit einer von Uber-E-Mail-Servern stammenden E-Mail, die in einem Formular zur Aktualisierung der Kreditkartendaten auffordert. Da der echte Mailserver verwendet wurde, stimmen auch Signaturen wie DKIM, welche die Authentizität des Absenderservers bestätigen.

Uber könnte bereits seit März von der Sicherheitslücke wissen

Bei der Sicherheitslücke selbst handele es sich um eine "eine HTML-Injektion in einen der E-Mail-Endpunkte von Uber", sagte Elsallamy. Aus Sicherheitsgründen nennt er den verwundbaren Endpunkt jedoch nicht. Neben Elsallamy wollen auch die Sicherheitsforscher Soufiane el Habti und Shiva Maharaj die Lücke entdeckt und bereits im März erfolglos an Uber gemeldet haben, wie Bleepingcomputer in einem Update schreibt.

Golem Akademie
  1. Entwicklung mit Unity auf der Microsoft HoloLens 2 Plattform: virtueller Zwei-Tage-Workshop
    7.–8. Februar 2022, Virtuell
  2. PowerShell Praxisworkshop: virtueller Vier-Tage-Workshop
    21.–24. Februar 2022, virtuell
Weitere IT-Trainings

Auf Nachfrage des Onlinemagazins hat Uber bisher nicht reagiert. Solange die Lücke nicht geschlossen wurde, sollten Uber-Nutzer, -Fahrer und -Angestellte misstrauisch bei E-Mails von Uber sein. Über eine ähnliche Schwachstelle auf einem Server des FBI wurden erst im November 2021 tausende bis hunderttausende Spam-E-Mails über die Mailserver des FBI versendet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Sam Zeloof
Student baut Chip mit 1.200 Transistoren

In seiner Garage hat Sam Zeloof den Z2 fertiggestellt und merkt scherzhaft an, Moore's Law schneller umgesetzt zu haben als Intel selbst.

Sam Zeloof: Student baut Chip mit 1.200 Transistoren
Artikel
  1. Xbox Cloud Gaming: Wenn ich groß bin, möchte ich gerne Netflix werden
    Xbox Cloud Gaming
    Wenn ich groß bin, möchte ich gerne Netflix werden

    Call of Duty, Fallout oder Halo: Neue Spiele bequem am Business-Laptop via Stream zocken, klingt zu gut, um wahr zu sein. Ist auch nicht wahr.
    Ein Erfahrungsbericht von Benjamin Sterbenz

  2. IBM: Watson Health anteilig für 1 Mrd. US-Dollar verkauft
    IBM
    Watson Health anteilig für 1 Mrd. US-Dollar verkauft

    Mit Francisco Partners greift eine große Investmentgruppe zu, das Geschäft mit Watson Health soll laut IBM darunter aber nicht leiden.

  3. Lego Star Wars UCS AT-AT aufgebaut: Das ist kein Mond, das ist ein Lego-Modell
    Lego Star Wars UCS AT-AT aufgebaut
    "Das ist kein Mond, das ist ein Lego-Modell"

    Ganz wie der Imperator es wünscht: Der Lego UCS AT-AT ist riesig und imposant - und eines der besten Star-Wars-Modelle aus Klemmbausteinen.
    Ein Praxistest von Oliver Nickel

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MediaMarkt & Saturn: Heute alle Produkte versandkostenfrei • Corsair Vengeance RGB RT 16-GB-Kit DDR4-4000 114,90€ • Alternate (u.a. DeepCool AS500 Plus 61,89€) • Acer XV282K UHD/144 Hz 724,61€ • MindStar (u.a. be quiet! Pure Power 11 CM 600W 59€) • Sony-TVs heute im Angebot [Werbung]
    •  /