Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Phishing: Uber ignoriert Sicherheitslücke

Über eine Sicherheitslücke lassen sich Spam- und Phishing -Mails über die Mailserver von Uber verbreiten. Das Unternehmen ignoriert die Lücke.
/ Moritz Tremmel
Kommentare News folgen (öffnet im neuen Fenster)
Bei E-Mails von Uber sollte man besser vorsichtig sein... (Bild: DENIS CHARLET/AFP via Getty Images)
Bei E-Mails von Uber sollte man besser vorsichtig sein... Bild: DENIS CHARLET/AFP via Getty Images

Über eine Sicherheitslücke im E-Mail-System des Fahrdienstes Uber können Dritte E-Mails im Namen des Unternehmens versenden. Beispielsweise an die 60 Millionen Uber-Kunden, deren Daten bei einem Datenleck 2016 öffentlich wurden. Bisher hat Uber die Sicherheitslücke nicht behoben.

Entdeckt hatte die Lücke der Sicherheitsforscher Seif Elsallamy und in der Silvesternacht an Ubers Bug-Bounty-Programm gemeldet. Laut dem Onlinemagazin Bleepingcomputer(öffnet im neuen Fenster) hat das Unternehmen die Meldung jedoch nicht angenommen, da es fälschlicherweise davon ausging, dass die Lücke nur mit zusätzlichem Social Engineering – also der erschlichenen Mithilfe von Uber-Angestellten – ausgenutzt werden könne.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Der Sicherheitforscher demonstrierte dem Onlinemagazin die Lücke mit einer von Uber-E-Mail-Servern stammenden E-Mail, die in einem Formular zur Aktualisierung der Kreditkartendaten auffordert. Da der echte Mailserver verwendet wurde, stimmen auch Signaturen wie DKIM , welche die Authentizität des Absenderservers bestätigen.

Uber könnte bereits seit März von der Sicherheitslücke wissen

Bei der Sicherheitslücke selbst handele es sich um eine "eine HTML-Injektion in einen der E-Mail-Endpunkte von Uber," sagte Elsallamy. Aus Sicherheitsgründen nennt er den verwundbaren Endpunkt jedoch nicht. Neben Elsallamy wollen auch die Sicherheitsforscher Soufiane el Habti und Shiva Maharaj die Lücke entdeckt und bereits im März erfolglos an Uber gemeldet haben, wie Bleepingcomputer in einem Update schreibt.

Auf Nachfrage des Onlinemagazins hat Uber bisher nicht reagiert. Solange die Lücke nicht geschlossen wurde, sollten Uber-Nutzer, -Fahrer und -Angestellte misstrauisch bei E-Mails von Uber sein. Über eine ähnliche Schwachstelle auf einem Server des FBI wurden erst im November 2021 tausende bis hunderttausende Spam-E-Mails über die Mailserver des FBI versendet.

Zur Startseite Kommentare

Relevante Themen

SoftwareUnternehmenssoftwareSecuritySicherheitslückeCybercrimeMobilitätDatensicherheitFahrdienst