2017 年 11 月,全球叫車共乘大廠 Uber 陷入了一場資料外洩風暴, 該公司被揭發有 5,700 萬名司機和乘客的資訊外流到網路上。一月底又出現了另一個資安問題,研究人員 Karan Saini 發現 Uber 有一個 系統漏洞 可讓駭客跳過 Uber 應用程式的雙重認證 (2FA) 機制。
該公司早在 2015 年就開始實驗雙重認證,希望能取代電子郵件和密碼的簡單認證方式。然而,這項功能卻因為 Uber 應用程式的登入方式而使得駭客有可能跳過這項安全機制。根據 Saini 提供的詳細資料指出,使用者只要有電子郵件和密碼就能登入其帳號。接著,使用者可以在同一個瀏覽器階段切換到 Uber 的「help」(協助) 子網域,然後再用相同的登入憑證就能登入。
Uber 公司已在本文截稿前修正了該問題,並且說明這有可能是其內部資安團隊為了測試評估各種雙重認證技術的效果而導致的問題。同時,該公司也表示並非所有裝置都預設使用雙重認證,只有在適當的情況下才會使用,也就是當發現有可疑活動的時候。
雙重認證的重要性
隨著資料外洩與資訊竊盜案件日益頻傳,不論企業機構或一般消費者都應開始考慮淘汰傳統的單一認證機制,改用雙重認證。對企業機構來說,這意味著必須在其系統內加入雙重認證,對一般消費者來說,這意味著要確實啟用這項機制 (如果不是預設使用的話)。
此案例告訴我們,即使是雙重認證系統也並非完美。更何況,網路犯罪集團還可透過網路釣魚或惡意程式的方式來克服這項機制。不過,多一分防護總是比少一分好,所以雙重認證畢竟還是比單一認證來的安全。而且雙重認證不一定會比較複雜,因為大多數的雙重認證都只是需要多一封手機簡訊或多一個應用程式 (後者較為安全) 來進行雙重認證而已。
所有企業機構,尤其是需要經手或儲存大量客戶資料的企業,都應優先在系統當中加入額外的安全機制。雙重認證是一道容易架設的安全機制,而且不論對企業或使用者來說都不需太複雜的步驟。
請參考這篇「如何設定雙重認證 (2FA)」來保護您的網路帳號。
原文出處:Bug Allows Attackers to Bypass Uber’s Two-Factor Authentication System