2025. 11. 17., 18:19

A DoorDash igazi botránya: bárki küldhetett hivatalos e-mailt

A DoorDash igazi botránya: bárki küldhetett hivatalos e-mailt
Fontos kérdés, hogy mennyire bízhatunk meg a nagy techcégekben, amikor személyes adatainkról vagy épp a vállalati kommunikáció biztonságáról van szó. Egy nemrég felfedezett sebezhetőség ugyanis lehetővé tette, hogy bárki a DoorDash hivatalos szervereiről küldhessen e-maileket. Ez teret adott az átveréseknek és az adathalásztámadásoknak – a botrány pedig egészen váratlan fordulatokat vett.

Hivatalosnak tűnő DoorDash-e-mailek bármikor, bárkinek

A problémát egy névtelen biztonsági szakértő, doublezero7 fedezte fel a DoorDash for Business platformján. Egy egyszerű hibáról volt szó, amely lehetővé tette, hogy a szolgáltatás adminisztrációs felületén akárki új „alkalmazottat” vegyen fel tetszőleges névvel és e-mail címmel, hozzárendelje egy költségkerethez, majd bármilyen tartalmú, tetszés szerint formázott HTML-levelet küldjön – mindezt teljesen hivatalos DoorDash-kinézettel és a no-reply@doordash.com címről.

A szakértő szerint a hiba forrása egy inputmező volt, amelynek tartalmát a rendszer nyers szövegként mentette el, és ugyanígy illesztette be a levelekbe. Így megfelelő kódolással akár teljes szövegrészeket lehetett elrejteni vagy manipulálni. Mivel a DoorDash-szerverről érkezett e-mail tökéletesen hitelesnek tűnt, ez a módszer szinte minden címzettnél működött. Ugyanis a platform védelme kizárólag a levelezőprogramok szűrőire támaszkodott, nem volt beépített ellenőrzés.

Másfél évig sebezhető volt a rendszer

A DoorDash-hiba kitartóan kihasználható maradt: a felfedezést követően több mint 15 hónapig semmit nem tettek ellene. Igazi biztonsági lavina indult el, amikor a kutató, beleunva a tétlenségbe, blogján nyilvánosan összefoglalta, milyen próbálkozásai voltak a bejelentéssel – konkrét részletek azonban ekkor még nem kerültek ki.

A hibát a HackerOne-on keresztül is leadta, de a „tájékoztató” státusz után (ami azt jelenti, hogy a cég nem tekintette kritikusnak) az ügy semerre nem mozdult. Végül csak azután javították a sebezhetőséget, hogy a kutató közvetlenül is elkezdte zaklatni a DoorDash vezetőségét. A rést néhány napon belül lezárták, miután ultimátumot kapott a cég.

Ezzel szemben a díjazásból kizárták a kutatót

A kutató szerint a vállalat teljesen figyelmen kívül hagyta a bejelentést, amíg nem kezdett el nyilvánosan is nyomást gyakorolni rájuk. Ezzel szemben a DoorDash úgy véli, hogy a követelés már etikátlan nyomásgyakorlás volt. Az eset gyorsan elmérgesedett: a vállalat kizárta a kutatót a hibavadász-programjukból, mivel ő pénzdíjat követelt az ügy sürgőssége miatt, ezt pedig zsarolásnak minősítették. A felkínált békéltetést a kutató visszautasította, ragaszkodva a pénzéhez.

A cég szerint a bejelentett sérülékenység nem tartozott a jutalmazott kategóriába, de a biztonsági csapat azonnal lezárta a rést. Mint mondták: csak azokkal működnek együtt, akik jóhiszeműen jelentik a hibákat. Ezzel szemben a kutató állítja, hogy mindössze a DoorDash 16 hónapig tartó hanyagságát szerette volna kompenzáltatni.


Mi a tanulság? Mindkét fél veszített

Habár a sérülékenységet végül kijavították, az ügy rávilágított, mennyire ellentétes elvárásokkal működnek a vállalatok és a független kutatók. Esetünkben ugyan nem szivárogtak ki DoorDash-ügyféladatok, és a támadás hatékonysága is a gyanútlan felhasználók figyelmességétől függött, ám a rendszer túl sokáig volt kitett a visszaélés veszélyének. A kutató végül hiába erőltette a pénzügyi elismerést, következményként kizárták a platformról, a DoorDash viszont most sem dicsekedhet hibátlan hibakezeléssel.

Ezzel szemben egy jó üzenete mégis van az esetnek: a biztonsági kutatók kitartása nélkül ma is működhetne a megtévesztő DoorDash-levelezés csatornája.

2025, adminboss, www.bleepingcomputer.com alapján

Legfrissebb posztok

MA 16:31

A csillagászok farkánál kapták el a sötét üstököst

Az utóbbi években csillagászati körökben sok fejtörést okozott az ’Oumuamua nevű égitest, amely 2017-ben száguldott át a Naprendszer belső részén...

MA 16:01

A hasmenést okozó parazita-járvány Michiganben már 1200 esetnél tart

Több mint 1 200 hasmenéses fertőzést regisztráltak Michigantől egészen Ohióig, a helyzet napok alatt kritikusra fordult...

MA 15:31

A nagy port kavart kozmológiai tanulmány elemi hibát vétett – állítja egy fizikus

Az asztrofizikai kutatások világa ritkán hangos szenzációktól, de néhány hete egy tanulmány szinte alapjaiban ígérte felforgatni a kozmológiát...

MA 15:02

A kvantumszámítógép áttörése: megszületett a fúzió ritka kulcsanyaga

💫 Egy új kísérletben sikerült ötvözni a kvantumszámítógépet és a szuperszámítógépet, így áttörést értek el a fúziós reaktorokban zajló fizikai folyamatok modellezésében...

MA 14:31

Az iOS 26.5.2-t töltsd le most: rengeteg biztonsági javítás

Érdemes minél előbb telepíteni az iOS 26.5.2-es frissítést, amely most vált elérhetővé, nagyjából egy hónappal az előző verzió megjelenése után...

MA 11:31

A Google villámgyorsan javította a Home hangszóró beüzemelési gondjait

Az elmúlt hetekben az új Google Home Speaker vásárlóit komoly bosszúságok érték: a készülék beállítása során sokuk szembesült egy makacs hibával, amely egyszerűen megakadályozta a használatot...

MA 11:02

A gombnak hitt lelet valójában Mezítlábas Magnus 900 éves érméje

🪙 Egy norvég mezőn végzett fémdetektorozás közben különös felfedezés született: egy tárgy, amit eredetileg elhagyott gombnak gondoltak, végül egy 900 éves ezüstpénznek bizonyult...

MA 10:49

A nyílt forrású MI-modellek olcsóbban vészelik át a költségrobbanást

💰 Egyre több cég dönt úgy, hogy olcsóbb, nyílt forráskódú MI-modellekre vált, miután a fejlett rendszerek használata világszerte elszálló számlákat eredményezett...

MA 10:37

Az új robotszív egy gyakori, rejtélyes szívbetegséget utánoz, hogy kutathassák

💖 Egy különleges, puha robot-szív képes utánozni a szívelégtelenség több különböző fázisát, így új lehetőséget adhat a kutatóknak arra, hogy még a klinikai vizsgálatok előtt teszteljék a lehetséges kezeléseket...

MA 10:25

A Defender 0-day javítása támadóknak töltheti tele a merevlemezed

A legfrissebb Windows Defender-javítás ugyan befoltoz egy komoly biztonsági rést, de újabb, igencsak kellemetlen mellékhatást is bevezethet: lehetőséget teremt arra, hogy támadók pillanatok alatt teleírják a számítógép merevlemezét, egészen addig, amíg egyetlen bájtnyi hely sem marad...

MA 09:37

Az idő születése: fizikusok órák nélkül teremtettek miniatűr univerzumot

Mi történik, ha az idő nem létezik addig, amíg valami meg nem változik?..

MA 09:25

Az MI-szenny elárasztotta a netet, főleg a LinkedInt és az X-et

Az online világban egyre nehezebb kibogozni, hogy ki írta valójában a közösségi platformok hosszabb, tartalmasnak tűnő bejegyzéseit...

MA 09:13

Az új ChatGPT a munka svájcibicskája

🛠 Az OpenAI végre bemutatta azt az univerzális mesterségesintelligencia-alkalmazást, amely egyetlen helyen egyesíti a legfontosabb digitális munkaeszközöket...

APP
MA 09:11

APPok, Amik Ingyenesek MA, 7/10

Fizetős iOS appok és játékok, amik ingyenesek a mai napon.     Between Dates Calendar Math (iPhone/iPad)A Between Days egy egyszerű alkalmazás, amely megmutatja, hány nap van két megadott dátum között...

MA 08:49

A hawaii mosolygópók meglepő rokona az indiai Himalájában

Egy apró, élénkpiros mosollyal díszített pók ejtette ámulatba a kutatókat, amikor Indiában – jóval távolabb Hawaii-tól, amelyhez eddig kötötték a híres „mosolygós pókot” – fedezték fel...

MA 08:37

A Forg365 adathalászplatform MI-vel támadja a Microsoft 365-fiókokat

🚨 Megemlíthető továbbá, hogy a digitális fenyegetések egyre kifinomultabbak, most pedig a Forg365 platform vetett be újszerű, MI-alapú módszereket a Microsoft 365-fiókok elleni adathalásztámadások során...

MA 08:25

Az USA fontolgatja a kormány és fékpedál elhagyását az önvezetőknél?

Az amerikai autóiparban jelentős változások várhatók: hamarosan eltűnhet a kormány és a fékpedál az önvezető autókból...

MA 08:14

A jobb kvantumbiztos aláírásokra várni luxus, most kell lépnünk

🔒 A kriptográfia világát régóta uraló RSA- és ECC-algoritmusok hamarosan végveszélybe kerülnek...

MA 07:49

Az OpenAI új eszköze veled együtt dolgozik – és helyetted is?

Érdemes megérteni, hogy az OpenAI ismét nagyot lépett előre: bemutatta legújabb fejlesztését, amely képes komplex, akár órákig tartó feladatok önálló elvégzésére, nem akad el a hosszabb munkafolyamatokban, és ténylegesen kézzelfogható eredményre vezet különféle célok esetén is...

MA 07:39

Az Asus ProArt RTX 5090: karcsú szörnyeteg alkotóknak, 32 GB VRAM-mal

🔥 Az Asus ProArt GeForce RTX 5090 32 GB GDDR7 OC Edition kifejezetten a tartalomgyártók és prémium minőségű munkaállomások építőinek szánt grafikus kártya, amely ötvözi a legerősebb fogyasztói GPU-t egy vékonyabb, kis helyigényű kivitelben...

MA 07:26

A világ legnagyobb szuperkamerája: 3 tonna, 3200 megapixel az égen

📷 Egy személyautó-méretű óriáskamera megkezdte minden idők legnagyobb földi égboltfelmérését Chilében. A Cerro Pachón tetején működő, 3 tonnás digitális műszer elindította a Legacy Survey of Space and Time-ot, és mostantól éjszakánként, negyven másodpercenként, körülbelül 3200 megapixeles, 8 GB-os képeket készít az univerzumról...

MA 07:13

A csillagászok szerint a Tejútrendszer nagyobb, nehezebb és aszimmetrikusabb, mint hittük?

A legújabb csillagászati megfigyeléseknek köszönhetően kiderült, hogy a Tejútrendszer két hatalmas spirálkarja sokkal messzebb húzódik, mint azt valaha gondoltuk...

MA 06:49

A heves hasmenést okozó parazita Amerikában tombol: Michiganben 1 251 eset

Lényeges, hogy az Egyesült Államokat az utóbbi hetekben különösen súlyos parazitajárvány sújtja: országszerte már több mint ezer cyclosporiasis-fertőzést jelentettek...

MA 06:37

Az MI-ügynököket a cégek 69 százalékánál a közös API-kulcsok teszik sebezhetővé

Az MI-ügynökök egyre fontosabb szerepet töltenek be a vállalati működésben, azonban az egyszerűség kedvéért gyakran ugyanazt az API-kulcsot kapják meg...

MA 06:26

A 800 másodperces vizit ára: az antibiotikum-rezisztencia nem biológiai okai

Az antibiotikum-rezisztencia az egyik legsúlyosabb egészségügyi fenyegetés világszerte, a következő 15 évben akár 39 millió halálesethez is vezethet, ha a baktériumok továbbra is ellenállóvá válnak a gyógyszerekkel szemben...

MA 06:05

Történelmi események a mai napon (Július 10.)

Időutazás a történelembe: Julius Caesar majdnem elszenvedett macedóniai veresége, a Vichy-kormány megalakulása és a Death Valley hőmérsékleti rekordja mind ezen a napon történt...

MA 06:01

A Google Home beállításánál sokan elakadnak, és senki sem érti, miért

A Google új Home hangszórója igen viharosan rajtolt, hiszen hónapokkal a Pixel 10 bemutatója után, hosszas késlekedést és számos kiszivárgást követően jutott el a felhasználókhoz...

csütörtök 18:31

A fák növekedés után is elnyelik a szén-dioxidot

🌲 Az évszakok változása és az egyre melegebb éghajlat régi elméleteket kérdőjelez meg az erdők szénmegkötésével kapcsolatban...

csütörtök 17:01

Az A-vitamin új felfedezése átírja, amit a látásról hittünk

👀 Érdemes megérteni, hogy a Johns Hopkins Egyetem kutatóinak sikerült megfejteniük, miként alakul ki az éles, központi látásunk már születésünk előtt...