O Uber ignora a vulnerabilidade que permite enviar qualquer e -mail do Uber.com

Uma vulnerabilidade no sistema de e-mail da Uber permite que qualquer pessoa envie um e-mail em nome da Uber.

O pesquisador que descobriu essa falha alerta que os agentes de ameaças podem abusar dessa vulnerabilidade para enviar e-mails para 57 milhões de usuários e motoristas do Uber cujas informações vazaram durante a violação de dados de 2016.

A Uber parece estar ciente da falha, mas não a corrigiu por enquanto.

índice

  1. "Seu Uber está a caminho agora"
  2. 57 milhões de clientes e motoristas Uber em risco

"Seu Uber está a caminho agora"

O pesquisador de segurança e caçador de recompensas de bugs Seif Elsallamy descobriu uma falha nos sistemas da Uber que permite que qualquer pessoa envie e-mails em nome da Uber.

Esses e-mails, enviados dos servidores da Uber, parecem legítimos para um provedor de e-mail (porque tecnicamente são) e ignoram os filtros de spam.

Imagine receber uma mensagem do Uber dizendo "Seu Uber está a caminho agora" ou "Sua viagem Uber na quinta de manhã" quando você nunca fez essas viagens.

Em uma demonstração, Elsallamy me enviou o seguinte e-mail, que claramente parecia vir do Uber e foi direto para minha caixa de entrada, não para spam:

E-mail PoC enviado para BleepingComputer de servidores Uber

O formulário de e-mail enviado ao BleepingComputer pelo investigador convida o cliente Uber a fornecer suas informações de cartão de crédito.

Clicar em "Confirmar" faz com que o formulário envie os campos de texto para um site de teste criado pelo pesquisador.

Observe, no entanto, que a mensagem teve um aviso de isenção de responsabilidade limpo que dizia "esta é uma prova de conceito para uma vulnerabilidade de segurança" e foi enviada ao BleepingComputer com autorização prévia.

Isenção de responsabilidade PoC em e-mail enviado para BleepingComputer pela Uber

Na véspera de Ano Novo de 2021, o pesquisador relatou com responsabilidade a vulnerabilidade ao Uber por meio do programa de recompensas de bugs do HackerOne.

No entanto, seu relatório foi rejeitado por estar "fora do escopo" na suposição errônea de que explorar a própria falha técnica exigia alguma forma de engenharia social:

Uber rejeita relatório do investigador concluindo que requer engenharia social (Twitter)

Parece que esta não é a primeira vez que o Uber descartou essa falha em particular.

Os caçadores de recompensas Soufiane el Habti e Shiva Maharaj dizem que relataram anteriormente o problema ao Uber sem sucesso. [1, 2, 3].

57 milhões de clientes e motoristas Uber em risco

Ao contrário da crença popular, este não é um simples caso de spoofing de e-mail usado por ameaças para criar e-mails de phishing.

De fato, o e-mail enviado pelo investigador "do Uber" para o BleepingComputer passou nas verificações de segurança DKIM e DMARC, de acordo com os cabeçalhos de e-mail que mostramos.

E-mail enviado "pela Uber" passa pelas verificações de segurança DKIM e DMARC (Computer Ringing)

O e-mail do pesquisador foi enviado por meio do SendGrid, plataforma de e-mail marketing e comunicação com o cliente utilizada por empresas líderes.

Mas Elsallamy diz ao BleepingComputer que é um endpoint exposto nos servidores da Uber que é responsável pela falha e permite que qualquer pessoa crie um e-mail em nome da Uber.

A vulnerabilidade é "uma injeção de HTML em um dos terminais de e-mail da Uber", diz Elsallamy, comparando-a a uma falha semelhante descoberta em 2019 nos servidores Meta (Facebook) pelo testador de lápis Youssef Sammouda.

No caso do Meta, o endpoint parecia idêntico a:

 https://legal.tapprd.thefacebook.com/tapprd/Portal/ShowWorkFlow/AnonymousEmbed/XXXXXXXXXXXXX

Compreensivelmente, por razões de segurança, o investigador não revelou o lado vulnerável do Uber.

Ele questionou o Uber, "traga a sua [calculadora] e me diga qual seria o resultado se essa vulnerabilidade fosse usada com os 57 milhões de e-mails [endereços que vazaram] desde o último vazamento de dados?"

"Se você souber o resultado, informe os funcionários da equipe de triagem de recompensas de bugs."

Elsallamy está se referindo à violação de dados da Uber em 2016 que revelou as informações pessoais de 57 milhões de clientes e motoristas da Uber.

Por este incidente, o Gabinete do Comissário de Informação do Reino Unido (ICO) multou a Uber em 385.000, juntamente com a autoridade holandesa de proteção de dados (Autoriteit Persoonsgegevens), que multou a empresa em 600.000.

Ao explorar essa vulnerabilidade não corrigida, os adversários podem enviar golpes de phishing direcionados para milhões de usuários da Uber anteriormente afetados pela violação.

Quando questionado sobre o que o Uber poderia fazer para remediar a falha, o pesquisador recomenda:

"Eles precisam higienizar a entrada do usuário em uma forma vulnerável e não divulgada. À medida que o HTML é processado, eles podem usar uma biblioteca de codificação de segurança para codificar entidades HTML para que qualquer HTML apareça como texto", disse ele. Elsallamy em BleepingComputer.

A BleepingComputer entrou em contato com a Uber bem antes da publicação, mas não recebeu uma resposta no momento.

Usuários, funcionários, motoristas e parceiros da Uber devem ter cuidado com qualquer e-mail de phishing enviado pela Uber que pareça legítimo, pois os agentes de ameaças que exploram essa falha continuam sendo uma possibilidade.

Atualização 11:55: Adicionada uma referência ao mesmo defeito relatado em 2015/16 e março de 2021, mas obsoleto.

  • Como desativar o modo escuro na Pesquisa Google
  • Como desconectar o Facebook e o Instagram

descubra mais conteúdo

O que é um amplificador integrado?

Google Pixel Watch também tem detecção de queda, mas não até o próximo ano

As melhores xícaras de café aquecidas de 2022

Como automatizar seu iPhone com base na hora, atividade ou localização

"Isso deve ter sido antes do meu tempo"

Por que a NASA enviou Snoopy para a Lua? – Revisão Geek

Como entro em contato com a Uber?

Seção de ajuda

Se você ainda não conseguir encontrar o que está procurando, sempre poderá entrar em contato diretamente com a equipe de suporte da Uber para obter ajuda. Vá para o ícone do menu no canto superior esquerdo e pressione Ajuda, onde você encontrará a opção de enviar uma mensagem.

Como fazer uma reclamação para Uber Argentina?

O suporte da Uber está sempre à mão

  1. Abri o aplicativo.
  2. Encontre a seção Ajuda.
  3. Lá o sistema mostrará a última viagem feita com sua conta.
  4. Depois de ter escolhido a viagem em que teve problemas, escolha a opção de ajuda que melhor se adapta às suas necessidades pessoais.
Ir arriba