Falha nos servidores da Uber permite enviar e-mails falsos com @uber.com

Falha faz com que e-mail seja enviado dos servidores da Uber e pode ser combinada com vazamentos de dados que comprometeu 57 milhões de usuários

Pedro Knoth
• Atualizado há 1 ano

Uma falha de segurança no sistema de e-mail da Uber permite o envio de mensagens falsas com o endereço eletrônico @uber.com para qualquer pessoa. O caçador de bugs que descobriu o defeito alerta que ele poderia ter um impacto devastador quando combinado com o vazamento de dados que comprometeu as informações de 57 milhões usuários da plataforma, em 2016. A empresa foi notificada pela brecha de segurança, mas até agora não corrigiu o problema.

Bug atinge servidores da Uber para enviar e-mail falso

O caçador de bugs Seif Elsallamy foi quem descobriu a falha que permite a qualquer um enviar e-mails com o endereço de domínio oficial da Uber. Nesse caso, a falha encontrada vai além do simples spoofing de e-mail: a mensagem forjada ultrapassa as barreiras de segurança DMARC e DKIM dos provedores de e-mail.

Há uma falha nos servidores da Uber que permite a criação de uma conta com um endereço oficial da empresa. O bug resulta de uma injeção de HTML no servidor da Uber, e Elsallamy o compara com uma brecha recente descoberta nos servidores da Meta em 2019, que permitia a criação de e-mails sob o endereço oficial do Facebook (legal_noreply@fb.com).

No caso, a brecha de segurança da Uber é assustadora porque, ao mandar uma mensagem com o @uber.com, ela parte diretamente dos servidores da própria plataforma. Por isso, os e-mails têm uma aparência legítima para os provedores de e-mail (como o Gmail), e passam pelo sistema que, caso contrário, os jogaria para o spam.

Falha no e-mail pode ser potencializada por vazamento

Em demonstração de como funciona o golpe, Elsallamy enviou um e-mail “da Uber” para o Bleeping Computer. Nele, o caçador de bugs pede informações de cadastro do usuário sob o aviso de que sua conta havia sido suspensa. O e-mail parece oficial e contém o endereço oficial da Uber para e-mails promocionais. Ao clicar no botão de “confirmar”, depois do campo para preencher as informações, o dono do e-mail é levado ao site de “teste” montado por Elsallamy.

Imagine receber uma mensagem na caixa de entrada avisando que “seu Uber está quase chegando” ou “Veja suas viagens mais recentes com a Uber”, quando, na verdade, todas levam ao roubo de dados e a fraudes.

Na véspera do ano novo, Elsallamy notificou a Uber sobre o bug. Contudo, o time da empresa responsável por verificar a falha ignorou seu pedido, ao afirmar que a brecha estava “fora de alcance” porque “era baseada em engenharia social”.

O caçador de bugs então foi ao Twitter revelar seus achados, e marcou a Uber para que ela “esteja ciente do resultado que a vulnerabilidade pode ter quando for usada com os 57 milhões de e-mails vazados da última brecha na segurança [da Uber]”

Elsallamy se refere a um vazamento sofrido pela Uber em 2016, que expôs informações pessoais de clientes e motoristas. Por essa falha de cibersegurança, a Uber foi multada em cerca de meio milhão de dólares pela Information Commissioner’s Office (ICO), órgão do Reino Unido para proteção de dados.

Por fim, o caçador de bugs que descobriu a falha da Uber alerta a empresa para limpar o input dos usuários e codificar o HTML por meio de uma biblioteca, para que todos apareçam na forma de textos.

Com informações: Bleeping Computer

Relacionados

Escrito por

Pedro Knoth

Pedro Knoth

Ex-autor

Pedro Knoth é jornalista e cursa pós-graduação em jornalismo investigativo pelo IDP, de Brasília. Foi autor no Tecnoblog cobrindo assuntos relacionados à legislação, empresas de tecnologia, dados e finanças entre 2021 e 2022. É usuário ávido de iPhone e Mac, e também estuda Python.