Uber悄悄修補之前忽視的雙因素驗證漏洞

Uber周一悄悄修補兩天前研究人員爆料被Uber草率忽視的雙因素驗證（two-factor authentication, 2FA）漏洞。
 
ZDNET周一報導，印度籍安全研究人員Karan Saini在Uber發送給叫車用戶密碼作為身份驗證的過程中有項漏洞，致使2FA可被繞過。但在他透過Uber舉辦的抓漏大賽通報後，Uber承辦人員以「不很嚴重」回絕，於是Saini轉向媒體爆料。
 
這個漏洞發生在使用者登入Uber平台時，平台驗證用戶帳號的過程中。當2FA輸入密碼的對話框跳出時，在同一瀏覽器連線（session）的Uber「Help」子網域輸入帳戶的同一組電子郵件及密碼，就能繞過這個對話框而登入平台。這意謂著其他人，包括駭客只要在網路上搜尋或從黑市中買到Uber帳密的人，都可以冒用身分在Uber平台上做任何事。
 
Saini本月透過主辦Uber抓漏賞金大賽的HackerOne通報該漏洞，不過通報隨即遭回絕，Uber方面給予的評價是有資訊參考價值（informative）。根據HackerOne網站的定義，這個詞的意思是該通報「具有用資訊，但不會導致立即行動或修復。安全團隊可以考慮其他風險評估或其他緩解因素。」
 
ZDNET引述當時Saini接到Uber安全工程經理的回覆內容，指出「這並不是太嚴重的通報（漏洞），也是預期中的行為」，以此拒絕這項通報。對方還表示，Uber僅在某些「可疑呼叫」下使用2FA，不是所有裝置、所有帳號都有的設定。
 
Saini反問，以自己的IP、作業系統及瀏覽器登入自己的Uber帳號，這行為不知哪點可疑？
 
Uber方面還回覆媒體，強調這並不是驗證繞過的漏洞，而是近日該公司因為接獲不少用戶抱怨某個網頁上的2FA問題，因而展開多方測試，可能導致這個現象發生。Uber表示，該公司系統已使用機器學習技術，而非只仰賴2FA來強化可疑登入的檢測。
 
有趣的是，Uber雖然聲稱這不是漏洞，但仍在周一悄悄將之修補並證實此事。不過並未通知原始通報研究人員。
 
這已不是Uber第一次掩蓋漏洞事實。Uber去年11月承認2016年底曾遭駭客入侵，讓駭客盜走了5700萬名Uber乘客與司機的資料，當時Uber安全長Joe Sullivan私下支付10萬美元予駭客，要求駭客銷毀資料。事情曝光後，Sullivan已「被離職」負責。