近日,安全研究员发现Uber居然对一个可以让攻击者绕过双重身份认证的安全漏洞“视而不见”,因为在它看来这个漏洞不是一个“特别严重”的问题!

双重身份认证(2FA)是保护在线账户的重要组成部分。它为用户可能会被窃取的账户和密码上添加了第二层安全保护伞,比如,向用户的手机发送一条短信,才可以继续进行访问。

近年来,许多网站都在使用双重身份认证,如亚马逊、Facebook和谷歌。它们在安全问题上都采取了双重措施,因为黑客攻击事件层出不穷,他们盗取了数十亿用户的密码,之后使用这些密码来登录和接管账户。去年晚些时候,Uber隐瞒了其系统的漏洞,而在该系统中,有5700万用户的信息被泄露。

不知悔改!Uber再曝重大安全漏洞

虽然Uber于2015年开始在其系统上测试并使用双重身份认证,但该公司尚未将这一安全功能广泛推向用户。然而许多用户需要定期发送两次验证码以便登录,这些验证码会被发送到他们用来乘车的手机上。新德里的安全研究员 Saini发现了这个漏洞。于是他向HackerOne提交了一份漏洞报告,但是他的报告很快被拒绝了。Uber将这一错误报告标记为“信息性的”,意思是它包含了“有用的信息,但不能立即采取行动或展开修复。Uber的安全工程经理表示:“这不是一个特别严重的漏洞,也可能是预期行为。”

不知悔改!Uber再曝重大安全漏洞

该漏洞利用了Uber在登录平台时对用户进行身份验证的弱点。最终的结果是,用户可以在不输入正确验证码的情况下,绕过双重身份认证,进入另一个账户。也就是说任何人都可以使用某人的电子邮件地址和密码登录到他的帐户,如果密码在其他被黑的网站上重复使用,就可以很容易被获取。Uber的账户通常会在黑网上进行交易,在某些情况下,只需花费一美元。