حقائق سريعة

• خلل في DoorDash للأعمال سمح لأي شخص بإرسال رسائل بريد إلكتروني "رسمية" مقنعة من خوادم DoorDash الحقيقية.
• الثغرة، التي اكتشفها الباحث "doublezero7"، بقيت دون تصحيح لأكثر من 15 شهرًا.
• عملية الإفصاح أصبحت مثيرة للجدل، مع اتهامات بالابتزاز وحظر من البرنامج.
• قامت DoorDash بتصحيح المشكلة لكنها رفضت دفع مكافأة، معتبرة التقرير خارج النطاق.
• لم تُسرق بيانات العملاء، لكن الخلل كان يمكن أن يمكّن من هجمات تصيد احتيالي فعالة للغاية.

البريد الإلكتروني الذي لم يكن: ثغرة مخفية في وضح النهار

تخيل أن تتلقى رسالة بريد إلكتروني تبدو رسمية من DoorDash - مع العلامة التجارية والتنسيق النظيف ومرسلة من عنوان doordash.com حقيقي. الآن تخيل أن هذه الرسالة صاغها شخص غريب، باستخدام حساب مجاني وحيلة بسيطة. هذه كانت الحقيقة لأكثر من عام، بفضل ثغرة كامنة في منصة DoorDash للأعمال.

اكتشف الباحث الأمني "doublezero7" أنه من خلال التلاعب بحقل إدخال "اسم الميزانية" في DoorDash للأعمال، يمكن لأي شخص حقن كود HTML مخصص في الرسائل. ببساطة: كان النظام يسمح للمهاجم بإخفاء أو استبدال أجزاء من البريد الإلكتروني، بل وحتى إدراج عروض وهمية أو روابط خبيثة، وكل ذلك يُرسل من خوادم DoorDash الموثوقة. بالنسبة للمستلمين، كان من شبه المستحيل التمييز بين الحقيقي والمزيف.

دراما الإفصاح: عندما تتحول النوايا الحسنة إلى مرارة

الإبلاغ عن الثغرات من المفترض أن يكون فوزًا للطرفين: الباحثون يساعدون الشركات، والشركات تكافئ الباحثين، والمستخدمون يصبحون أكثر أمانًا. لكن في هذه الحالة، انهارت العملية. وفقًا لـ "doublezero7"، تجاهلت DoorDash تقريره في البداية، والذي تم تقديمه عبر منصة مكافآت الثغرات HackerOne وأُغلق باعتباره "للمعلومات فقط". محبطًا، نشر الباحث ملخصًا ولاحقًا ضغط على DoorDash مباشرة - مطالبًا بدفع مقابل الصمت وتوقيع اتفاقية عدم إفشاء.

من جانبها، وصفت DoorDash هذا السلوك بالابتزاز، وحظرت الباحث من برنامج مكافآت الثغرات الخاص بها، وأصلحت الخلل دون منح مكافأة. دعمت HackerOne الشركة، مشيرة إلى انتهاك السياسات. وتحوّل الأمر إلى تبادل للاتهامات: الباحث اتهم DoorDash بالإهمال والانتقام؛ بينما وصفت DoorDash النهج بأنه غير أخلاقي وخارج الحدود المقبولة.

أصداء أوبر: لماذا لا يزال انتحال البريد الإلكتروني مهمًا

هذه ليست المرة الأولى التي تتعثر فيها شركة تقنية بارزة بسبب انتحال البريد الإلكتروني. في عام 2022، واجهت أوبر مشكلة مماثلة تقريبًا، حيث تمكن المهاجمون من إرسال رسائل من بنية uber.com التحتية. مثل هذه الثغرات كنز للمجرمين الإلكترونيين، الذين يصممون حملات تصيد تتجاوز مرشحات الرسائل المزعجة وتستغل ثقة المستخدمين في العلامات التجارية المألوفة.

رغم أن ثغرة DoorDash لم تكشف بيانات أو حسابات داخلية، إلا أنه كان يمكن استغلالها لإطلاق عمليات احتيال مقنعة - تخدع المستخدمين لمشاركة كلمات المرور أو معلومات الدفع أو تنزيل برمجيات خبيثة. قد يبدو الخطر نظريًا، لكن في عصر تبلغ فيه خسائر الاحتيال عبر البريد الإلكتروني للأعمال مليارات سنويًا، حتى الثغرات "البسيطة" قد تكون لها عواقب جسيمة.

ويكيكروك

• انتحال البريد الإلكتروني: إرسال رسائل بريد إلكتروني بعنوان مرسل مزيف لانتحال شخصية شخص آخر، دون الوصول إلى حسابه الحقيقي.
• التصيد الاحتيالي: التصيد الاحتيالي هو جريمة إلكترونية يرسل فيها المهاجمون رسائل مزيفة لخداع المستخدمين للكشف عن بيانات حساسة أو النقر على روابط خبيثة.
• برنامج مكافآت الثغرات: برنامج مكافآت الثغرات يكافئ الباحثين المستقلين على اكتشاف الثغرات البرمجية والإبلاغ عنها، مما يساعد المؤسسات على تعزيز أمنها السيبراني.
• حقن HTML: حقن HTML هو عندما يقوم المهاجمون بإدخال كود HTML غير مصرح به في موقع، مما يغير مظهره أو سلوكه للمستخدمين ويشكل مخاطر أمنية.
• جدول الإفصاح: جدول الإفصاح هو العملية والخطوات الزمنية للإبلاغ والتواصل وحل الثغرات الأمنية بين الباحثين والشركات.