DoorDash sistemlerindeki bir güvenlik açığı, herkesin doğrudan şirketin yetkili sunucularından "resmi" DoorDash temalı e-postalar göndermesine olanak tanıyarak mükemmele yakın bir kimlik avı kanalı oluşturabilir.
DoorDash artık sorunu düzeltti, ancak güvenlik açığını bildiren araştırmacı ile şirket arasında, her iki taraf da birbirini uygunsuz davranmakla suçlayarak tartışmalı bir anlaşmazlık çıktı.
DoorDash for Business platformundaki basit bir kusur, herkesin doğrudan no-reply@doordash.com adresinden tamamen markalı "resmi" e-postalar göndermesine izin verebilir.
Doublezero7 takma adlı bir güvenlik araştırmacısı tarafından keşfedilen bu kusur, tehdit aktörleri tarafından son derece ikna edici kimlik avı kampanyaları ve sosyal mühendislik dolandırıcılıkları başlatmak için kullanılabilir.
Basitçe söylemek gerekirse, herkes ücretsiz bir DoorDash for Business hesabı oluşturabilir ve ardından yeni bir 'Çalışan' (isteğe bağlı bir ad ve e-posta adresiyle) eklemek, onlara yemek gideri bütçeleri atamak ve isteğe bağlı HTML içeren e-postalar oluşturmak için arka uç yönetici kontrol panellerini kullanabilir.
Sonuçta ortaya çıkan ve DoorDash'in resmi şablonunu taşıyan mesaj, alıcının posta kutusuna spam değil, sorunsuz bir şekilde ulaşır:
Bu keşfin arkasındaki güvenlik araştırmacısı yakın zamanda BleepingComputer'a başvurdu ve kötü aktörler tarafından nasıl istismar edilebileceğini göstermek için güvenlik açığına dair kanıt sağladı.
Araştırmacı BleepingComputer'a şunları söyledi: "Kök, Bütçe adı giriş alanıydı. Veritabanında ham metin olarak saklandı ve işleneceği e-postaya iletildi."
"Kapatılmamış etiketleri kullanarak Bütçe bilgileriyle ilgili tüm metin bloğunu değiştirebilirdim ve display:none kullanarak bunu tamamen gizlemek ve hazırlanmış yük ile değiştirmek mümkün oldu."
Araştırmacı şöyle devam etti: "Tamamen e-posta istemcisinin savunma katmanlarına dayanıyordu. Geçen her şey işleniyordu. Giriş alanı, 'hata' dışındaki olaylarda bile etkinleştirildi ancak bunlar e-posta platformları tarafından filtreleniyor."
Yukarıdaki ekran görüntüsünde gösterilen "Ücretsiz 20$ Kupon Talep Edin" metni, aşağıda gösterilen, DoorDash for Business arka ucunda araştırmacı tarafından hazırlanmış bir kavram kanıtlayıcı HTML enjeksiyon istismarıdır:
Araştırmacı, bu özelliğin kötüye kullanılması yoluyla gönderilen e-postaların DoorDash müşterileri veya satıcılarıyla sınırlı olmadığını, başka bir deyişle bir tehdit aktörünün DoorDash temalı e-postalarla hemen hemen her alıcıyı hedef alabileceğini belirtti.
Güvenlik açığı, 2022'de BleepingComputer tarafından ortaya çıkarıldığı üzere, Uber'in e-posta sistemlerinde hemen hemen herkesin Uber.com'dan e-posta göndermesine izin veren, giderilmeyen kusurla aynıdır.
BleepingComputer ile iletişime geçmeden önce, uzun açıklama nedeniyle hayal kırıklığına uğrayan araştırmacı, kusuru ve açıklama girişimlerini özetleyen kısa bir güvenlik açığı raporu yayınlarken, somut teknik ayrıntıları veya kavram kanıtlarını gizledi.
O zamanlar "Teknik kusur hiçbir zaman karmaşık değildi; güvenilir bir e-posta şablonunda oluşturulan klasik bir depolanmış veriydi" diye yazmışlardı.
Ancak keşfeden kişi, güvenlik açığı için sunulan HackerOne raporunun (# 2608277) 17 Temmuz 2024 civarında "Bilgilendirici" olarak kapatıldığı ve "hiçbir zaman iletilmediği" ve kusurun 15 aydan fazla bir süre boyunca kullanılabilir durumda kaldığı gerçeğiyle ilgili sorun yaşadı.
Herkese açık zaman çizelgesine ve araştırmacının BleepingComputer'a aktardığı olaylara göre, kusur ancak 3 Kasım haftasında araştırmacının DoorDash'e defalarca doğrudan e-posta göndermesiyle düzeltilebildi.
Araştırmacı, "Benim kamuoyu baskım olmasaydı, bu güvenlik açığı bugün hala aktif olurdu" diye iddia ediyor.
Net bir zaman çizelgesi oluşturmak için BleepingComputer bağımsız bir doğrulama gerçekleştirdi ve bu noktada araştırmacının hesabı ile DoorDash'in olay sürümü birbirinden ayrılmaya başladı.
Araştırmacı, şirketin baskı yapılana kadar konuyu görmezden geldiğini iddia ediyor. Şirket, baskının kendisinin etik sınırları aştığını söylüyor.
Şirketin güvenlik açığı raporunu nasıl ele aldığını bilen bir kişiye göre, araştırmacı ile DoorDash arasındaki etkileşim, araştırmacının açıklama zaman çizelgelerine bağlı olarak önemli bir ödeme talep etmesinden sonra bozuldu; kaynak, şirketin bu durumu etik hata ödül araştırması sınırlarının dışında gördüğünü söyledi. Kaynağa göre araştırmacı, arabuluculuk teklifini de reddetti ve mali talebi yineledi.
Araştırmacı raporu tazminatı hak eden meşru bir güvenlik bulgusu olarak çerçeveledi. Ancak DoorDash, konuyu kapsam dışı buldu ve yaklaşımı gasp hissi olarak nitelendirdi.
DoorDash sözcüsü BleepingComputer'a şunları söyledi:
"DoorDash, potansiyel güvenlik açıklarını bulup düzeltmeye yardımcı olmak için güvenlik araştırmacılarıyla birlikte çalışmak üzere bir hata ödül programı yürütüyor. Bu durumda, bu kişi DoorDash'ten para karşılığında şantaj yapmaya çalıştı. Daha sonra hata ödül programımızdan yasaklandılar. Bildirilen sorun, hata giderme programımızın kapsamı dışında kaldı. Güvenlik ekibimiz bildirilen soruna çözüm bulmak için harekete geçti. Platformumuzu korumak için iyi niyetle çalışan araştırmacılarla çalışmaya devam edeceğiz."
BleepingComputer ayrıca tam bağlamı öğrenmek için HackerOne'a ulaştı.
Hata ödül platformu, araştırmacının raporunun neden "Bilgilendirici" olarak kapatıldığı konusunda yorum yapmadı.
Ancak bir HackerOne sözcüsü BleepingComputer ile şunları paylaştı:
"Bu konuyu müşterimizle koordineli olarak inceledik ve HackerOne Davranış Kuralları ve müşterinin program politikasına uygun olarak uygun önlemlerin alındığını doğruladık. HackerOne, platformun, müşterilerimizin ve HackerOne topluluğunun emniyetini ve emniyetini sağlamak için Hizmet Şartlarımızı ciddiye almaktadır. Bir topluluk üyesinin HackerOne'ın Hizmet Koşullarını ihlal ettiğini tespit edersek, platformun kalıcı olarak yasaklanması da dahil olmak üzere derhal uygun önlemleri alacağız."
BleepingComputer'a gönderilen e-postalarda araştırmacı, kusurun uzun bir süre boyunca yamalanmadığını yineledi ve şirketle doğrudan iletişime geçerken ödeme talep etmek de dahil olmak üzere "daha az etik" bir yaklaşım kullandığını kabul etti:
BleepingComputer'a şöyle yazdılar: "DoorDash'e gönderdiğim son e-posta, ciddi ihmal geçmişi göz önüne alındığında, sessizlik karşılığında telafi edilmiş bir NDA'ya girme yönünde koşullu bir teklifti."
"DoorDash, hatayı ültimatomdan birkaç saat sonra düzeltti (önemli olduğunu kanıtladı), ancak ödeme talebimi görmezden gelip kusuru sessizce yamamayı seçti."
Artık yamalı olan kusur, inandırıcı DoorDash e-postalarını taklit etmek için yararlı olsa da, DoorDash kullanıcı verilerini açığa çıkarmadı veya dahili sistemlere erişim sağlamadı.
Her kimlik avı vektörü gibi, alıcının harekete geçmesi için kandırılmasını gerektiriyordu ve bu da gerçek 'kritikliği' hakkında soru işaretleri doğuruyordu.
Ancak araştırmacı, "sessiz düzeltmeyi" ve ardından bunların hata ödül programından çıkarılmasını misilleme olarak görüyor.
"[Güvenlik açığını açıklama kararım] doğrudan şirketin hizmetimi ücretsiz olarak alması, 16 aylık başarısızlığını gizlemeye çalışması ve ardından beni susturmaya çalışmasından kaynaklanıyor ki bunun güvenlik araştırmasında etik olmayan bir yaklaşım olduğuna inanıyorum."
BleepingComputer'a konuşan araştırmacı, "Gerçekten tüm eylemlerimin doğru olup olmadığını bilmiyordum. Ama sonuçta kusuru kapattılar, en azından bunu başardım."
Bu vaka, güvenlik açığı raporlamasının ne kadar endişe verici hale gelebileceğini ve araştırmacılar ile şirketler arasındaki yanlış hizalanmış beklentilerin nasıl hızla çatışmalara yol açabileceğini gösteriyor.
Konuyla ilgili bilgi sahibi bir kaynak, BleepingComputer'a kusurun bu ay açıklanan Ekim ayındaki DoorDash ihlaliyle ilgisi olmadığını söyledi.
İster eski anahtarları temizliyor ister yapay zeka tarafından oluşturulan kod için korkuluklar kuruyor olun, bu kılavuz ekibinizin en başından itibaren güvenli bir şekilde geliştirme yapmasına yardımcı olur.
Hile sayfasını alın ve sır yönetimindeki tahminleri ortadan kaldırın.
Microsoft Kasım 2025 Yaması Salı, 1 sıfır gün, 63 kusuru düzeltti
Princeton Üniversitesi bağışçıları ve mezunları etkileyen veri ihlalini açıkladı
ImunifyAV'daki RCE kusuru, Linux tarafından barındırılan milyonlarca siteyi riske atıyor
DoorDash Ekim ayında kullanıcı bilgilerini açığa çıkaran yeni bir veri ihlaline maruz kaldı
Yönetici kullanıcılar oluşturmak için herkese açık PoC'den yararlanılan Fortinet FortiWeb kusuru
Kaynak: Bleeping Computer