Phishing: Uber ignoriert Sicherheitslücke

Über eine Sicherheitslücke lassen sich Spam- und Phishing-Mails über die Mailserver von Uber verbreiten. Das Unternehmen ignoriert die Lücke.

Artikel veröffentlicht am ,
Bei E-Mails von Uber sollte man besser vorsichtig sein...
Bei E-Mails von Uber sollte man besser vorsichtig sein... (Bild: DENIS CHARLET/AFP via Getty Images)

Über eine Sicherheitslücke im E-Mail-System des Fahrdienstes Uber können Dritte E-Mails im Namen des Unternehmens versenden. Beispielsweise an die 60 Millionen Uber-Kunden, deren Daten bei einem Datenleck 2016 öffentlich wurden. Bisher hat Uber die Sicherheitslücke nicht behoben.

Stellenmarkt
  1. Backend Developer (m/w/d) - Azure & .NET
    Goldbeck GmbH, Bielefeld, Leipzig, Plauen
  2. IT-Projektleiter Digitalisierung (m/w/d)
    Helios IT Service GmbH, Hamburg
Detailsuche

Entdeckt hatte die Lücke der Sicherheitsforscher Seif Elsallamy und in der Silvesternacht an Ubers Bug-Bounty-Programm gemeldet. Laut dem Onlinemagazin Bleepingcomputer hat das Unternehmen die Meldung jedoch nicht angenommen, da es fälschlicherweise davon ausging, dass die Lücke nur mit zusätzlichem Social Engineering - also der erschlichenen Mithilfe von Uber-Angestellten - ausgenutzt werden könne.

Der Sicherheitforscher demonstrierte dem Onlinemagazin die Lücke mit einer von Uber-E-Mail-Servern stammenden E-Mail, die in einem Formular zur Aktualisierung der Kreditkartendaten auffordert. Da der echte Mailserver verwendet wurde, stimmen auch Signaturen wie DKIM, welche die Authentizität des Absenderservers bestätigen.

Uber könnte bereits seit März von der Sicherheitslücke wissen

Bei der Sicherheitslücke selbst handele es sich um eine "eine HTML-Injektion in einen der E-Mail-Endpunkte von Uber", sagte Elsallamy. Aus Sicherheitsgründen nennt er den verwundbaren Endpunkt jedoch nicht. Neben Elsallamy wollen auch die Sicherheitsforscher Soufiane el Habti und Shiva Maharaj die Lücke entdeckt und bereits im März erfolglos an Uber gemeldet haben, wie Bleepingcomputer in einem Update schreibt.

Golem Akademie
  1. Einführung in Unity: virtueller Ein-Tages-Workshop
    17. Februar 2022, Virtuell
  2. Unity Basiswissen: virtueller Drei-Tage-Workshop
    7.–9. Februar 2022, Virtuell
Weitere IT-Trainings

Auf Nachfrage des Onlinemagazins hat Uber bisher nicht reagiert. Solange die Lücke nicht geschlossen wurde, sollten Uber-Nutzer, -Fahrer und -Angestellte misstrauisch bei E-Mails von Uber sein. Über eine ähnliche Schwachstelle auf einem Server des FBI wurden erst im November 2021 tausende bis hunderttausende Spam-E-Mails über die Mailserver des FBI versendet.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Aktuell auf der Startseite von Golem.de
Geforce RTX 3050 im Test
Wir hätten gerne einen Steam-Liebling gesehen

Upgrade dank DLSS und Raytracing: Die Geforce RTX 3050 ist die erste Nvidia-Grafikkarte mit diesen Funktionen für theoretisch unter 300 Euro.
Ein Test von Marc Sauter

Geforce RTX 3050 im Test: Wir hätten gerne einen Steam-Liebling gesehen
Artikel
  1. Open-Source-Sprachassistent Mycroft: Basteln mit Thorsten statt Alexa
    Open-Source-Sprachassistent Mycroft
    Basteln mit Thorsten statt Alexa

    Das US-Unternehmen Mycroft AI arbeitet an einem Open-Source-Sprachassistenten. Die Alexa-Alternative ist etwas für lange Winterabende.
    Ein Praxistest von Thorsten Müller

  2. Deutsche Telekom: 5G auf LTE-Frequenzen an fast 1.000 Standorten
    Deutsche Telekom
    5G auf LTE-Frequenzen an fast 1.000 Standorten

    In der neuen 5G-Bilanz der Deutschen Telekom kommt das schnelle C-Band gar nicht vor. Es geht nur um 5G auf LTE-Frequenzen.

  3. Hosting: Hetzner erhöht Preise teils um 30 Prozent wegen Stromkosten
    Hosting
    Hetzner erhöht Preise teils um 30 Prozent wegen Stromkosten

    Die Server aus seiner Auktion kann der Hoster Hetzner offenbar nicht kostendeckend betreiben. Das könnte die ganze Branche betreffen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RTX 3090 24GB 2.349€ • RTX 3070 Ti 8GB 1.039€ • 1TB SSD PCIe 4.0 127,67€ • RX 6900XT 16 GB 1.495€ • Razer Gaming-Tastatur 155€ • LG OLED 65 Zoll 1.599€ • Razer Gaming-Maus 39,99€ • RX 6800XT 16GB 1.229€ • Thrustmaster Ferrari Lenkrad 349,99€ • Razer Gaming-Stuhl 179,99€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /