Phishing: Uber ignoriert Sicherheitslücke

Über eine Sicherheitslücke lassen sich Spam- und Phishing-Mails über die Mailserver von Uber verbreiten. Das Unternehmen ignoriert die Lücke.

Artikel veröffentlicht am ,
Bei E-Mails von Uber sollte man besser vorsichtig sein...
Bei E-Mails von Uber sollte man besser vorsichtig sein... (Bild: DENIS CHARLET/AFP via Getty Images)

Über eine Sicherheitslücke im E-Mail-System des Fahrdienstes Uber können Dritte E-Mails im Namen des Unternehmens versenden. Beispielsweise an die 60 Millionen Uber-Kunden, deren Daten bei einem Datenleck 2016 öffentlich wurden. Bisher hat Uber die Sicherheitslücke nicht behoben.

Entdeckt hatte die Lücke der Sicherheitsforscher Seif Elsallamy und in der Silvesternacht an Ubers Bug-Bounty-Programm gemeldet. Laut dem Onlinemagazin Bleepingcomputer hat das Unternehmen die Meldung jedoch nicht angenommen, da es fälschlicherweise davon ausging, dass die Lücke nur mit zusätzlichem Social Engineering - also der erschlichenen Mithilfe von Uber-Angestellten - ausgenutzt werden könne.

Der Sicherheitforscher demonstrierte dem Onlinemagazin die Lücke mit einer von Uber-E-Mail-Servern stammenden E-Mail, die in einem Formular zur Aktualisierung der Kreditkartendaten auffordert. Da der echte Mailserver verwendet wurde, stimmen auch Signaturen wie DKIM, welche die Authentizität des Absenderservers bestätigen.

Uber könnte bereits seit März von der Sicherheitslücke wissen

Bei der Sicherheitslücke selbst handele es sich um eine "eine HTML-Injektion in einen der E-Mail-Endpunkte von Uber", sagte Elsallamy. Aus Sicherheitsgründen nennt er den verwundbaren Endpunkt jedoch nicht. Neben Elsallamy wollen auch die Sicherheitsforscher Soufiane el Habti und Shiva Maharaj die Lücke entdeckt und bereits im März erfolglos an Uber gemeldet haben, wie Bleepingcomputer in einem Update schreibt.

Auf Nachfrage des Onlinemagazins hat Uber bisher nicht reagiert. Solange die Lücke nicht geschlossen wurde, sollten Uber-Nutzer, -Fahrer und -Angestellte misstrauisch bei E-Mails von Uber sein. Über eine ähnliche Schwachstelle auf einem Server des FBI wurden erst im November 2021 tausende bis hunderttausende Spam-E-Mails über die Mailserver des FBI versendet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Custom Keyboard
Youtuber baut riesige Tastatur für 13.500 Euro

Die Switches haben das 64-fache Volumen und das Gehäuse ist menschenhoch: Ein Youtuber baut eine absurd große Tastatur für absurd viel Geld.

Custom Keyboard: Youtuber baut riesige Tastatur für 13.500 Euro
Artikel
  1. Super Nintendo: Fan bringt verbessertes Zelda 3 für Windows, MacOS und Linux
    Super Nintendo
    Fan bringt verbessertes Zelda 3 für Windows, MacOS und Linux

    Aus 80.000 Zeilen C-Code besteht die per Reverse Engineering generierte Version von Zelda 3. Die bringt einige Verbesserungen und 16:9.

  2. Twitter: Der blaue Haken bringt Musk nur wenig Geld
    Twitter
    Der blaue Haken bringt Musk nur wenig Geld

    Weltweit hat Twitter angeblich schon einige Hunderttausend zahlende Nutzer. Das dürfte die Finanzprobleme aber nur wenig mildern.

  3. Linux: Alte Computer zu neuem Leben erwecken
    Linux
    Alte Computer zu neuem Leben erwecken

    Computer sind schon nach wenigen Jahren Nutzungsdauer veraltet. Doch mit den schlanken Linux-Distributionen AntiX-Linux, Q4OS oder Simply Linux erleben ältere PC-Systeme einen zweiten Frühling.
    Von Erik Bärwaldt

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • DAMN-Deals: AMD CPUs zu Tiefstpreisen (u. a. R7 5800X3D 324€)• MindStar: Zotac RTX 4070 Ti 949€, XFX RX 6800 519€ • WSV-Finale bei MediaMarkt (u. a. Samsung 980 Pro 2 TB Heatsink 199,99€) • RAM im Preisrutsch • Powercolor RX 7900 XTX 1.195€ • PCGH Cyber Week nur noch kurze Zeit [Werbung]
    •  /