באג באפליקציית אובר מאפשר להאקר לפרוץ אליה בקלות

לפני 6 שנים, 11 חודשים - 22 ינואר 2018, כלכליסט
באג באפליקציית אובר מאפשר להאקר לפרוץ אליה בקלות
חוקר סייבר זיהה תקלה במנגנון האימות הדו שלבי בכניסה לאפליקציית שיתוף הנסיעות הפופולרית. התוצאה היא שהאקר יכול להתחזות בקלות ללקוחות כדי להזמין נסיעות על חשבונם

כשל אבטחתי התגלה במנגנון האימות הדו-שלבי של אפליקציית הזמנת הנסיעות של אובר. על פי דיווח של אתר ZDNet, הפרצה נחשפה על ידי חוקר אבטחה בהודו ומאפשרת לתוקפים לחדור אל חשבונות המשתמשים על ידי עקיפת מנגנון האימות הדו שלבי.

הבאג שזוהה במנגנון מתבסס על ניצול חולשה בדרך בה האפליקציה מאמתת משתמשים כשאלו מתחברים אל הפלטפורמה של אובר. בדרך, היא מסכלת את מנגנון האימות הדו שלבי. ההליך כולל שליחת קוד בהודעה לטלפון האישי של המשתמשים כך שרק להם תהיה הגישה אליו. החוקרים מצאו נקודת תורפה שמאפשרת לדלג על הזנת קוד האימות ולהיכנס ישירות לאפליקציה תוך שימוש בשם משתמש וססמה.

באובר הסבירו שהם מודעים לבעיה האבטחתית, אבל לטענתם זו אינה "חמורה מאוד". לדברי רוב פלטשר, מהאבטחה של החברה, אובר עושה שימוש באימות הדו שלבי רק כאשר מדובר בבקשות גישה הנחשבות לחשודות, וכי לא מדובר במנגנון שמופעל כברירת מחדל בכל מכשיר. דוברת אובר, מלני אנסין, אמרה שהבאג "אינו עוקף, וכנראה נגרם על ידי בדיקה של צוות האבטחה".

עם זאת, התנערותה של אובר מלקיחת אחריות ואף דחיית הצורך להפקת לקחים צריכים להדליק עבור המשתמשים והרשויות נורה אדומה. שמות משתמש וסיסמאות עבור חשבונותיהם של לקוחות אובר נסחרים בדארקנט בעלות של דולר בודד לפריט. כשאלו בידיהם של גורמים זדוניים, מנגנון האימות הדו שלבי הוא המכשול האחרון בעצירת הפרצה, מנגנון שנותר פרוץ בחסות אובר.

בקרב מהנדסים בתחום האבטחה שנדרשו לסוגייה התקבלה התגובה של אובר בפליאה, ואלו טענו כי אם אין באימות הדו שלבי יתרון אבטחתי אין הצדקה לקיומו. חושת הזלזול מצד אובר בסוגיה מתגברת לאור התנהלותה של החברה בפרצת הענק בה נגנבו פרטי חשבונותיהם של 57 מיליון משתמשים ושנחשפה בנובמבר האחרון אחרי יותר משנה של הסתרה. 

זאת ועוד, בניסיון להסתיר את האירוע המדאיג, שילמה חברת שיתוף הנסיעות כופר של 100 אלף דולר להאקר בן ה-20 מפלורידה שעמד מאחורי הפריצה. מהלך שגרר זעם רב בקרב הרשויות בארה"ב. בעקבות המקרה וניסיונות ההשתקה הבלתי ראויים של אובר, יותר מחמש פרקליטויות שונות ברחבי ארה"ב ונוספות באירופה פתחו בחקירת האירוע.

Support Ukraine