Издание ZDNet сообщает, что компания Uber проигнорировала уязвимость в своем мобильном приложении, которая дает хакеру возможность взломать пользовательские аккаунты, обходя процесс двухфакторной аутентификации. Представители компании утверждают, что эта проблема «не является достаточно опасной».
Uber начала тестирование двухфакторной аутентификации в 2015 году. Хотя она пока не распространена широко, многие пользователи регулярно передают двухфакторные коды аутентификации для того, чтобы войти в систему. Коды передаются на телефон, который применяется пользователем для вызова такси в сервисе.
Как утверждает исследователь информационной безопасности Каран Саини, приложение Uber содержит уязвимость, которая возможность обходить процесс двухфакторной аутентификации, делая бесполезным механизм отправки SMS-кода. Специалист отослал отчет об ошибке в компанию HackerOne, которая отвечает за программу Uber по поиску уязвимостей, но данную проблему обозначили как «не требующую немедленного исправления». Представитель Uber сообщил эксперту, что проблема, обозначенная в отчете, недостаточно опасна.
Уязвимость является проблемой аутентификации пользователя при авторизации в сервисе. Используя эту ошибку, хакер может обходить двухфакторную защиту, не вводя правильный код, и захватить контроль над аккаунтом жертвы.