Problema de securitate pe care Uber încă n-a rezolvat-o

Problema de securitate pe care Uber încă n-a rezolvat-o
Alexandru Puiu
20:00 23.01.2018

Sunt foarte multe motive să îndrăgești Uber, dar asta nu înseamnă că serviciul americanilor este lipsit de probleme mai mult sau mai puțin grave.

La fel ca multe alte servicii online importante, Uber permite securizarea contului printr-un algoritm de autentificare în doi pași. Pe lângă o parolă mai mult sau mai puțin complexă, respectivul algoritm se reflectă într-un cod suplimentar necesar pentru finalizare procesului de autentificare. Servicii precum Google oferă respectivul cod printr-o aplicație dedicată de mobil. Uber optează în continuare pentru servirea codului prin SMS.

Conform unui raport publicat de ZDNet, Uber are o problemă majoră cu autentificarea în doi pași. Respectivul detaliu tehnic se reflectă în reducerea la zero a nivelului de utilitate pentru securitatea suplimentară. Pentru ca situația să fie și mai gravă, după ce au fost sesizați în privința problemei, oficialii companiei americane nu s-au arătat foarte entuziasmați în a o remedia.

Bug-ul inițial a fost descoperit de expertul în securitate Karan Saini. Respectivul internaut a sesizat problema celor de la HackerOne, compania care administrează programul de recompensare a vulnerabilităților pentru Uber. Imediat a primit un răspuns cel puțin surprinzător de la companie. În acel context, i s-a adus la cunoștință că, deși vulnerabilitatea este informativă și conține informații utile, nu necesită o intervenție imediată sau o soluție permanentă.

Pentru ca situația să devină și mai gravă, directorul de securitate de la Uber i-a confirmat și el lui Karan că problema raportată de el nu este foarte gravă și că respectivul comportament este cel așteptat.

Întreaga problemă are legătură cu simplitatea procesului prin care o persoană malițioasă poate dezactiva autentificarea în doi pași pe Uber, dacă îți știe parola. Este suficient să optezi pentru varianta conform căreia ți-ai pierdut telefonul sau nu mai ai acces la el pentru a primi codul suplimentar prin SMS.

Rămâne să vedem dacă procesul de autentificare va deveni mai complex în viitorul apropiat, în contextul în care ai cardul bancar asociat contului tău.

loading...