Hivatalosnak tűnő DoorDash-e-mailek bármikor, bárkinek
A problémát egy névtelen biztonsági szakértő, doublezero7 fedezte fel a DoorDash for Business platformján. Egy egyszerű hibáról volt szó, amely lehetővé tette, hogy a szolgáltatás adminisztrációs felületén akárki új „alkalmazottat” vegyen fel tetszőleges névvel és e-mail címmel, hozzárendelje egy költségkerethez, majd bármilyen tartalmú, tetszés szerint formázott HTML-levelet küldjön – mindezt teljesen hivatalos DoorDash-kinézettel és a no-reply@doordash.com címről.
A szakértő szerint a hiba forrása egy inputmező volt, amelynek tartalmát a rendszer nyers szövegként mentette el, és ugyanígy illesztette be a levelekbe. Így megfelelő kódolással akár teljes szövegrészeket lehetett elrejteni vagy manipulálni. Mivel a DoorDash-szerverről érkezett e-mail tökéletesen hitelesnek tűnt, ez a módszer szinte minden címzettnél működött. Ugyanis a platform védelme kizárólag a levelezőprogramok szűrőire támaszkodott, nem volt beépített ellenőrzés.
Másfél évig sebezhető volt a rendszer
A DoorDash-hiba kitartóan kihasználható maradt: a felfedezést követően több mint 15 hónapig semmit nem tettek ellene. Igazi biztonsági lavina indult el, amikor a kutató, beleunva a tétlenségbe, blogján nyilvánosan összefoglalta, milyen próbálkozásai voltak a bejelentéssel – konkrét részletek azonban ekkor még nem kerültek ki.
A hibát a HackerOne-on keresztül is leadta, de a „tájékoztató” státusz után (ami azt jelenti, hogy a cég nem tekintette kritikusnak) az ügy semerre nem mozdult. Végül csak azután javították a sebezhetőséget, hogy a kutató közvetlenül is elkezdte zaklatni a DoorDash vezetőségét. A rést néhány napon belül lezárták, miután ultimátumot kapott a cég.
Ezzel szemben a díjazásból kizárták a kutatót
A kutató szerint a vállalat teljesen figyelmen kívül hagyta a bejelentést, amíg nem kezdett el nyilvánosan is nyomást gyakorolni rájuk. Ezzel szemben a DoorDash úgy véli, hogy a követelés már etikátlan nyomásgyakorlás volt. Az eset gyorsan elmérgesedett: a vállalat kizárta a kutatót a hibavadász-programjukból, mivel ő pénzdíjat követelt az ügy sürgőssége miatt, ezt pedig zsarolásnak minősítették. A felkínált békéltetést a kutató visszautasította, ragaszkodva a pénzéhez.
A cég szerint a bejelentett sérülékenység nem tartozott a jutalmazott kategóriába, de a biztonsági csapat azonnal lezárta a rést. Mint mondták: csak azokkal működnek együtt, akik jóhiszeműen jelentik a hibákat. Ezzel szemben a kutató állítja, hogy mindössze a DoorDash 16 hónapig tartó hanyagságát szerette volna kompenzáltatni.
Mi a tanulság? Mindkét fél veszített
Habár a sérülékenységet végül kijavították, az ügy rávilágított, mennyire ellentétes elvárásokkal működnek a vállalatok és a független kutatók. Esetünkben ugyan nem szivárogtak ki DoorDash-ügyféladatok, és a támadás hatékonysága is a gyanútlan felhasználók figyelmességétől függött, ám a rendszer túl sokáig volt kitett a visszaélés veszélyének. A kutató végül hiába erőltette a pénzügyi elismerést, következményként kizárták a platformról, a DoorDash viszont most sem dicsekedhet hibátlan hibakezeléssel.
Ezzel szemben egy jó üzenete mégis van az esetnek: a biztonsági kutatók kitartása nélkül ma is működhetne a megtévesztő DoorDash-levelezés csatornája.
