欢迎光临KOTOO财情




Uber 传资安漏洞,骇客可假装官方发送 Mail 盗取用户个资

2025-03-18 221


叫车平台传出 Uber 传出有资安漏洞,骇客可利用漏洞假借 Uber 名义发送电子邮件给用户,要求用户输入信用卡资料,窃取个资;Uber 目前已意识到漏洞,但并没有修复。

国外资安网站 Bleepingcomputer 报导,一名资安研究人员 Seif Elsallamy 发现叫车平台 Uber 有安全漏洞,有心人士可利用这项漏洞,以 Uber 名义发送电子邮件,趁机盗取用户个资。

Elsallamy 也进行概念性验证攻击,藉漏洞透过 Uber 官方账号发送电子邮件给用户,并要求用户输入个人信用卡资料;不仅如此,攻击信件还通过域名金钥辨识邮件(DomainKeys Identified Mail, DKIM)和网域型邮件验证、报告与一致性(DMARC)等安全检查。

报导指出,Uber 于 2016 年也曾爆出资安疑虑,发生个资外泄问题。当时有5,700 万名乘客和司机个资公开,包括姓名、地址、电话号码等,使英国和荷兰监管单位对 Uber 裁罚数十万欧元。

Elsallamy 担心骇客可透过漏洞执行钓鱼信件攻击,以盗取 5,700 万名用户个资。Elsallamy 表示,他透过 Twitter 向 Uber 回报问题,不过 Uber 虽知道,但未有修复漏洞的计划。

  • Uber ignores vulnerability that lets you send any email from Uber.com

(首图来源:Flickr/Stock Catalog CC BY 2.0)

2022-01-05 06:54:00

标签:   资讯头条 kotoo科技资讯 kotoo科技 kotoo科技资讯头条 科技资讯头条 KOTOO商业产经 新闻网 科技新闻网 科技新闻 Kotoo科技新闻网 Kotoo Kotoo科技新闻网 科技新闻 科技新闻网 新闻网 科技资讯头条 kotoo科技资讯头条 kotoo科技 kotoo科技资讯 资讯头条 Kotoo Kotoo科技新闻网 科技新闻 科技新闻网 KOTOO商业产经 科技资讯头条 kotoo科技资讯头条 kotoo科技 kotoo科技资讯 资讯头条
222