Uber dédaigneux à propos de la faille de sécurité qui permet aux pirates de contourner son 2FA

Uber ne prévoit pas de corriger une faille de sécurité critique dans son protocole d'authentification à deux facteurs (2FA) signalé par un chercheur en sécurité informatique. Un chercheur indien en sécurité informatique, Karan Saini, a découvert un défaut de sécurité critique dans le protocole d'authentification à deux facteurs utilisé par le géant du ride Uber pour protéger les comptes utilisateurs contre le piratage et empêcher leurs données de pirater. La faille, en revanche, permet aux attaquants de contourner 2FA, ce qui pourrait les conduire à effectuer un certain nombre d'actes malveillants, y compris le piratage d'un compte ciblé, changer son nom d'utilisateur et mot de passe et réserver des tours coûteux etc. Plus: utilisateurs Uber méfiez-vous; Les logiciels malveillants Android de Faketoken enregistrent des applications de covoiturage Simplement dit, 2FA est une couche supplémentaire de sécurité connue sous le nom d '«authentification multifactorielle» qui nécessite non seulement un mot de passe et un nom d'utilisateur, mais aussi un élément que seul l'utilisateur possède, c'est-à-dire immédiatement à portée de main - comme un jeton physique ou un code. Uber pas sérieux au sujet de la correction du bug Dans le cas d'Uber, Siani a rapporté ses découvertes au programme de bogue d'Uber sur HackerOne, qui a reconnu qu'il y avait effectivement un bug dans son authentification à deux facteurs, mais en même temps, l'entreprise a minimisé la gravité de cette découverte. "Ce rapport contenait des informations utiles mais ne justifiait pas une action immédiate ou une solution." Uber utilise l'authentification à deux facteurs en cas d'activité de connexion suspecte et envoie le second code à l'appareil de l'utilisateur afin de vérifier son identité. Uber a testé la fonctionnalité 2FA depuis 2015, mais les conclusions de Siani ont mis en évidence comment un pirate peut contourner la sécurité 2FA sans même entrer le bon code. Selon une déclaration à ZDNet, la porte-parole de Uber, Melanie Ensign, a déclaré que le bug n'était pas un contournement, mais pourrait être causé par les tests de sécurité en cours que l'entreprise mène sur l'application.

"Nous avons testé différentes solutions depuis que nous avons reçu beaucoup de plaintes d'utilisateurs demandant 2FA sur [une adresse web Uber que nous réduisons par notre décision de ne pas révéler les détails du bug] quand les gens essaient de signaler un vol perdu ou volé téléphone et ne peut pas recevoir de code sur cet appareil, a indiqué Ensign à ZDNet. "Nous croyons que ces tests causent à la fois l'existence et l'incohérence de ce problème." Pas pour la première fois Si vous êtes un hacker ou un chercheur en sécurité soucieux de signaler des vulnérabilités à Uber, vous devez être sûr de la gravité de celui-ci, car vous ne savez jamais ce qui est grave pour l'entreprise et ce qui ne l'est pas. Cependant, ce n'est pas la première fois qu'Uber rejette les conclusions de quelqu'un concernant la présence de failles de sécurité critiques dans son infrastructure en ligne. En décembre 2017, un chercheur en sécurité, Gregory Perry, a rendu compte de ses découvertes au programme Uber Bug Bounty sur HackerOne mais, en retour, l'entreprise a rejeté ses conclusions. Dans son article de blog "Comment j'ai payé 0 $ de la prime de bogue de sécurité Uber" Perry a décrit son expérience avec Uber et a qualifié son programme de prime de bogue comme "complètement faux". Uber paie aux cybercriminels, mais pas aux bons La dernière fois qu'Uber était dans les nouvelles concernant sa sécurité, c'était en novembre 2017 lorsque Bloomberg a rapporté que le géant du ride avait subi une faille de sécurité massive en octobre 2016 dans laquelle les pirates avaient volé les détails privés d'environ 75 millions d'utilisateurs Uber. En retour, l'entreprise a payé 100 000 $ à des pirates informatiques pour dissimuler la violation. Dans la violation, deux pirates ont volé des fichiers contenant des noms et numéros de licence de 600 000 conducteurs des États-Unis et des données personnelles telles que les noms, adresses électroniques et numéros de téléphone mobile de 57 millions d'utilisateurs Uber à travers le monde. Plus: utilisateurs Uber méfiez-vous; Les logiciels malveillants Android de Faketoken enregistrent des applications de covoiturage Si Uber continue à traiter les bons comme Saini et Perry d'une manière si négative, il est tout à fait possible que des chercheurs réticents en matière de sécurité cessent tout simplement de rapporter leurs découvertes à Uber, ce qui pourrait être désastreux pour l'entreprise. Rappelez-vous, des entreprises comme Google et Microsoft ont leurs propres équipes de sécurité, mais elles dépendent de chercheurs et d'entreprises indépendantes en matière de sécurité pour signaler l'existence de vulnérabilités et de logiciels malveillants dans le système.