Falha permite que qualquer pessoa envie e-mail em nome do Uber

falha-permite-que-qualquer-pessoa-envie-e-mail-em-nome-do-uber
Imagem: The Intercept

A Uber se tornou muito popular nos últimos anos, mas uma vulnerabilidade no sistema da empresa pode trazer prejuízos aos usuários e motoristas. Uma vulnerabilidade no sistema de e-mail do Uber permite que quase qualquer pessoa envie e-mails em nome do Uber.

A falha foi descoberta por um pesquisador de segurança e ela pode facilmente ser usada por agentes de ameças para disseminar e-mails falsos em nome da empresa para milhões de usuários.

O que torna a vulnerabilidade ainda mais perigosa é que, em 2016, dados de 57 milhões de usuários do Uber foram vazados, o que facilitaria o envio de e-mails em nome da empresa.

Informações do Uber que você não pediu, pode chegar por e-mail

De acordo com o BleepingComputer, o Uber parece estar ciente da falha, mas não a corrigiu por enquanto. Ela foi descoberta pelo pesquisador de segurança e caçador de recompensas de bugs Seif Elsallamy, que descobriu uma falha nos sistemas do Uber que permite que qualquer pessoa envie e-mails em nome da empresa.

Esses e-mails, enviados dos servidores do Uber, pareceriam legítimos para um provedor de e-mail e passariam por quaisquer filtros de spam. Em uma demonstração, Elsallamy enviou ao BleepingComputer a seguinte mensagem de e-mail “que, sem dúvida, parecia ter vindo do Uber e caiu direto na minha caixa de entrada, não lixo”:

Imagem: BleepingComputer

E-mail enviado para BleepingComputer dos servidores do Uber

O formulário de e-mail enviado ao BleepingComputer pelo pesquisador pede ao cliente do Uber que forneça as informações do cartão de crédito. Ao clicar em “Confirmar”, o formulário submete os campos de texto a um site de teste configurado pelo pesquisador.

Na véspera de ano novo de 2021, o pesquisador relatou responsavelmente a vulnerabilidade do Uber por meio de seu programa de recompensa de bug HackerOne. No entanto, seu relatório foi rejeitado por estar “fora do escopo” na suposição errônea de que a exploração da falha técnica em si exigia alguma forma de engenharia social.

De acordo com o BleepingComputer, parece que esta não é a primeira vez que o Uber descartou essa falha em particular. Os caçadores de recompensas de insetos Soufiane el Habti e Shiva Maharaj afirmam que já haviam relatado o problema ao Uber sem sucesso.

57 milhões de clientes e motoristas do Uber em risco

Imagem: Exame

Por incrível que possa parecer, como o e-mail foi enviado de um servidor real, o e-mail enviado pelo pesquisador “do Uber” para o BleepingComputer passou nas  verificações de segurança DKIM e DMARC, de acordo com os cabeçalhos de e-mail vistos pelo pessoal do site

Explorando essa vulnerabilidade não corrigida, os agentes de ameaça podem potencialmente enviar golpes de phishing direcionados a milhões de usuários do Uber anteriormente afetados pela violação.

Os usuários, funcionários, motoristas e associados do Uber devem estar atentos a quaisquer e-mails de phishing enviados do Uber que pareçam ser legítimos, pois a exploração dessa falha pelos agentes da ameaça continua sendo uma possibilidade, lembra o BleepingComputer.

Via: BleepingComputer

Acesse a versão completa
Sair da versão mobile