Uber が無視する脆弱性：Uber.com からの偽メールに警戒が必要

Uber ignores vulnerability that lets you send any email from Uber.com

2022/01/02 BleepingComputer — Uber の電子メール・システムの脆弱性により、誰もが Uber に代わって電子メールを送信できることが判明した。この欠陥を発見した研究者は、脅威アクターによる脆弱性の悪用で、2016年のデータ流出で情報が流出した、5700万人の Uber ユーザー／ドライバーに偽メールを送ることができると警告している。Uber は、この欠陥を認識しているようだが、今のところ修正していない。

あなたが頼んだ Uber が到着しました

セキュリティ研究者でありバグバウンティ・ハンターでもある Seif Elsallamy は、Uber のシステムに欠陥があり、誰もが Uber に代わってメールを送信できることを発見した。Uber のサーバーから送信される偽メールは、電子メール・プロバイダーにとっては (技術的に問題ないので) 正当なものに見え、あらゆるスパム・フィルターを通過することになる。

Uber から「あなたが頼んだ Uber が到着しました」や「木曜日の朝の Uber と一緒の旅行」といったメッセージが届くことを想像してみてほしい。Seif Elsallamy はデモとしてメールを送ってきた。そのメールは間違いなく Uber からきたものと思われ、迷惑メールではなく受信箱に入っていた。

この研究者が BleepingComputer に送ったメール内容は、Uber の顧客にクレジットカード情報の提供を促している。そして、Confirm をクリックすると、そのテキスト・フィールドを、研究者が設定したテスト・サイトに送信する。ただし、そのメッセージの下部には、「これはセキュリティ脆弱性の PoC」という明確な免責事項が記載されており、事前に許可を得て BleepingComputer に送信されたものであることが明示されている。

この研究者は 2021年の大晦日に、Uber の HackerOne バグバウンティ・プログラムを通じて脆弱性を報告した。しかし Uber は、この技術的な欠陥を悪用するためには、何らかのソーシャル・エンジニアリングが必要であるという誤った前提のもと、「対象外」という理由で却下した。

この欠陥を Uber が否定するのは、今回が初めてでは無いようだ。バグバウンティ・ハンターである Soufiane el Habti と Shiva Maharaj は、以前に Uber に対して、この問題を報告したが、聞き入れられなかったと述べている [1, 2, 3]。

5,700 万人の Uber のユーザー／ドライバーが危険にさらされている

今回の事件は、単なるメールの偽装ではなく、フィッシング・メールに利用されている。実際のところ、研究者が「Uber」から BleepingComputer に送信した電子メールは、当社が確認したメール・ヘッダーによると、DKIM と DMARC のセキュリティ・チェックを通過している。

この研究者からの電子メールは、大手企業が利用している電子メール・マーケティング／コミュニケーションのプラットフォームである、SendGrid を介して送信された。しかし、Elsallamy は BleepingComputer に対して、この欠陥の原因は Uber のサーバー上の露出したエンドポイントであり、誰もが Uber に代わってメールを作成できると語っている。

Elsallamy は、「この脆弱性は、Uber のメール・エンドポイントの１つにおける HTML インジェクションだ」と述べており、ペンテスターである Youssef Sammouda が 2019年に Meta (Facebook) のサーバーで発見した、同様の欠陥と比較している。当然のことながら、セキュリティ上の理由から、この研究者は脆弱な Uber のエンドポイントを公開していない。

https://legal.tapprd.thefacebook.com/tapprd/Portal/ShowWorkFlow/AnonymousEmbed/XXXXXXXXXXXXX 

彼が Uber に質問したところ、「電卓を持ってきて、この脆弱性が前回のデータ漏洩で流出した、5,700万件の電子メール・アドレスに使われた場合、どのような結果になるかろ教えてほしい。もし結果が分かっているのなら、バグバウンティ・トリアージ・チームに教えてほしい」と答えたそうだ。

Elsallamy は、この 5,700万人分の個人情報が流出した、2016年の Uber データ流出について言及している。この事故により、英国の Information Commissioner’s Office (ICO) は Uber に £385,000 の罰金を科し、オランダのデータ保護当局 Autoriteit Persoonsgegevens は €600.000 の罰金を科した。

この未パッチの脆弱性を悪用して、侵入の影響を受けた数百万人の Uber ユーザーに対して、標的型のフィッシング・メールが送られる可能性がある。

この脆弱性を修正するために、Uber は何ができるのかという質問に対して Elsallamy は、「Uber は、脆弱な非公開フォームへのユーザーの入力を、サニタイズする必要がある。HTML はレンダリングされているので、セキュリティ・エンコーディング・ライブラリを使用して、HTML エンティティ・エンコーディングを行い、あらゆる HTML がテキストとして表示されるようにすると良い」と語っている。

BleepingComputer では、この記事の公開に先立って Uber に問い合わせたが、現時点では回答が得られていない。

Uber のユーザー／スタッフ／ドライバー／関係者は、Uber から送られてくる正当なものと思われるフィッシング・メールに注意する必要がある。なぜなら、脅威アクターたちが、この欠陥を悪用する可能性があるからだ。

BleepingComputer の論調としては、「ちょっとそれは無いんじゃない？」という感じです。Uber としては、「この技術的な欠陥を悪用するためには、何らかのソーシャル・エンジニアリングが必要である」ということですが、「その認識は間違っている」と切り捨てています。Uber はグローバルなサービスであるだけに、脆弱性に対する認識を改めてほしいですね。