Falha nos servidores da Uber permite enviar e-mails falsos com @uber.com
Falha faz com que e-mail seja enviado dos servidores da Uber e pode ser combinada com vazamentos de dados que comprometeu 57 milhões de usuários
Falha faz com que e-mail seja enviado dos servidores da Uber e pode ser combinada com vazamentos de dados que comprometeu 57 milhões de usuários
Uma falha de segurança no sistema de e-mail da Uber permite o envio de mensagens falsas com o endereço eletrônico @uber.com para qualquer pessoa. O caçador de bugs que descobriu o defeito alerta que ele poderia ter um impacto devastador quando combinado com o vazamento de dados que comprometeu as informações de 57 milhões usuários da plataforma, em 2016. A empresa foi notificada pela brecha de segurança, mas até agora não corrigiu o problema.
O caçador de bugs Seif Elsallamy foi quem descobriu a falha que permite a qualquer um enviar e-mails com o endereço de domínio oficial da Uber. Nesse caso, a falha encontrada vai além do simples spoofing de e-mail: a mensagem forjada ultrapassa as barreiras de segurança DMARC e DKIM dos provedores de e-mail.
Há uma falha nos servidores da Uber que permite a criação de uma conta com um endereço oficial da empresa. O bug resulta de uma injeção de HTML no servidor da Uber, e Elsallamy o compara com uma brecha recente descoberta nos servidores da Meta em 2019, que permitia a criação de e-mails sob o endereço oficial do Facebook (legal_noreply@fb.com).
No caso, a brecha de segurança da Uber é assustadora porque, ao mandar uma mensagem com o @uber.com, ela parte diretamente dos servidores da própria plataforma. Por isso, os e-mails têm uma aparência legítima para os provedores de e-mail (como o Gmail), e passam pelo sistema que, caso contrário, os jogaria para o spam.
Em demonstração de como funciona o golpe, Elsallamy enviou um e-mail “da Uber” para o Bleeping Computer. Nele, o caçador de bugs pede informações de cadastro do usuário sob o aviso de que sua conta havia sido suspensa. O e-mail parece oficial e contém o endereço oficial da Uber para e-mails promocionais. Ao clicar no botão de “confirmar”, depois do campo para preencher as informações, o dono do e-mail é levado ao site de “teste” montado por Elsallamy.
Imagine receber uma mensagem na caixa de entrada avisando que “seu Uber está quase chegando” ou “Veja suas viagens mais recentes com a Uber”, quando, na verdade, todas levam ao roubo de dados e a fraudes.
Na véspera do ano novo, Elsallamy notificou a Uber sobre o bug. Contudo, o time da empresa responsável por verificar a falha ignorou seu pedido, ao afirmar que a brecha estava “fora de alcance” porque “era baseada em engenharia social”.
O caçador de bugs então foi ao Twitter revelar seus achados, e marcou a Uber para que ela “esteja ciente do resultado que a vulnerabilidade pode ter quando for usada com os 57 milhões de e-mails vazados da última brecha na segurança [da Uber]”
Elsallamy se refere a um vazamento sofrido pela Uber em 2016, que expôs informações pessoais de clientes e motoristas. Por essa falha de cibersegurança, a Uber foi multada em cerca de meio milhão de dólares pela Information Commissioner’s Office (ICO), órgão do Reino Unido para proteção de dados.
Por fim, o caçador de bugs que descobriu a falha da Uber alerta a empresa para limpar o input dos usuários e codificar o HTML por meio de uma biblioteca, para que todos apareçam na forma de textos.
Com informações: Bleeping Computer