Phishing: Uber ignoriert Sicherheitslücke
Über eine Sicherheitslücke lassen sich Spam- und Phishing-Mails über die Mailserver von Uber verbreiten. Das Unternehmen ignoriert die Lücke.

Über eine Sicherheitslücke im E-Mail-System des Fahrdienstes Uber können Dritte E-Mails im Namen des Unternehmens versenden. Beispielsweise an die 60 Millionen Uber-Kunden, deren Daten bei einem Datenleck 2016 öffentlich wurden. Bisher hat Uber die Sicherheitslücke nicht behoben.
Entdeckt hatte die Lücke der Sicherheitsforscher Seif Elsallamy und in der Silvesternacht an Ubers Bug-Bounty-Programm gemeldet. Laut dem Onlinemagazin Bleepingcomputer hat das Unternehmen die Meldung jedoch nicht angenommen, da es fälschlicherweise davon ausging, dass die Lücke nur mit zusätzlichem Social Engineering - also der erschlichenen Mithilfe von Uber-Angestellten - ausgenutzt werden könne.
Der Sicherheitforscher demonstrierte dem Onlinemagazin die Lücke mit einer von Uber-E-Mail-Servern stammenden E-Mail, die in einem Formular zur Aktualisierung der Kreditkartendaten auffordert. Da der echte Mailserver verwendet wurde, stimmen auch Signaturen wie DKIM, welche die Authentizität des Absenderservers bestätigen.
Uber könnte bereits seit März von der Sicherheitslücke wissen
Bei der Sicherheitslücke selbst handele es sich um eine "eine HTML-Injektion in einen der E-Mail-Endpunkte von Uber", sagte Elsallamy. Aus Sicherheitsgründen nennt er den verwundbaren Endpunkt jedoch nicht. Neben Elsallamy wollen auch die Sicherheitsforscher Soufiane el Habti und Shiva Maharaj die Lücke entdeckt und bereits im März erfolglos an Uber gemeldet haben, wie Bleepingcomputer in einem Update schreibt.
Auf Nachfrage des Onlinemagazins hat Uber bisher nicht reagiert. Solange die Lücke nicht geschlossen wurde, sollten Uber-Nutzer, -Fahrer und -Angestellte misstrauisch bei E-Mails von Uber sein. Über eine ähnliche Schwachstelle auf einem Server des FBI wurden erst im November 2021 tausende bis hunderttausende Spam-E-Mails über die Mailserver des FBI versendet.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed