Uber ignora la vulnerabilidad que le permite enviar cualquier correo electrónico desde Uber.com

Una vulnerabilidad en el sistema de correo electrónico de Uber permite que cualquier persona envíe un correo electrónico en nombre de Uber.

El investigador que descubrió esta falla advierte que los actores de amenazas pueden abusar de esta vulnerabilidad para enviar correos electrónicos a 57 millones de usuarios y conductores de Uber cuya información se filtró durante la filtración de datos de 2016.

Uber parece estar al tanto de la falla, pero no la ha solucionado por ahora.

Índice de contenidos
  1. "Tu Uber está en camino ahora"
  2. 57 millones de clientes y conductores de Uber en riesgo

"Tu Uber está en camino ahora"

Investigador de seguridad y cazarrecompensas de errores Seif Elsallamy descubrió una falla en los sistemas de Uber que permite a cualquier persona enviar correo electrónico en nombre de Uber.

Estos correos electrónicos, enviados desde los servidores de Uber, parecerían legítimos para un proveedor de correo electrónico (porque técnicamente son) y evita los filtros de correo no deseado.

Imagina recibir un mensaje de Uber diciendo "Tu Uber está en camino ahora" o "Tu viaje Uber el jueves por la mañana" cuando nunca has realizado esos viajes.

En una demostración, Elsallamy me envió el siguiente mensaje de correo electrónico que, sin duda, parecía provenir de Uber y llegó directamente a mi bandeja de entrada, no basura:

Correo electrónico de PoC enviado por servidores de Uber
Correo electrónico de PoC enviado a BleepingComputer desde los servidores de Uber

El formulario de correo electrónico enviado a BleepingComputer por el investigador invita al cliente de Uber a proporcionar la información de su tarjeta de crédito.

Al hacer clic en "Confirmar", el formulario envía los campos de texto a un sitio de prueba creado por el investigador.

Sin embargo, tenga en cuenta que el mensaje tenía un descargo de responsabilidad claro hacia abajo que decía "esto es una prueba del concepto de una vulnerabilidad de seguridad" y se envió a BleepingComputer con autorización previa.

Descargo de responsabilidad de PoC
Descargo de responsabilidad de PoC en el correo electrónico enviado a BleepingComputer por Uber

En la víspera de Año Nuevo de 2021, el investigador informó responsablemente la vulnerabilidad a Uber a través del programa de recompensas por errores de HackerOne.

Sin embargo, su informe fue rechazado por estar "fuera de alcance" sobre la suposición errónea de que explotar el defecto técnico en sí requería alguna forma de ingeniería social:

Uber rechaza el informe del investigador
Uber rechaza el informe del investigador concluyendo que requiere ingeniería social (Gorjeo)

Parece que esta no es la primera vez que Uber descarta esta falla en particular.

Los cazarrecompensas Soufiane el Habti y Shiva Maharaj dicen que previamente informaron del problema a Uber sin éxito. [1, 2, 3].

57 millones de clientes y conductores de Uber en riesgo

Contrariamente a la creencia popular, este no es un simple caso de suplantación de correo electrónico utilizado por amenazas para crear correos electrónicos de suplantación de identidad.

De hecho, el correo electrónico enviado por el investigador "desde Uber" a BleepingComputer pasó los controles de seguridad DKIM y DMARC, según los encabezados de correo electrónico que mostramos.

El correo electrónico enviado por Uber pasa los controles de seguridad DKIM y SPF
El correo electrónico enviado "por Uber" pasa los controles de seguridad DKIM y DMARC (Ordenador sonando)

El correo electrónico del investigador se envió a través de SendGrid, una plataforma de marketing por correo electrónico y comunicación con el cliente utilizada por empresas líderes.

Pero Elsallamy le dice a BleepingComputer que es un extremo expuesto en los servidores de Uber responsable del defecto y permite que cualquiera cree un correo electrónico en nombre de Uber.

La vulnerabilidad es "una inyección HTML en uno de los puntos finales de correo electrónico de Uber", dice Elsallamy, comparándola con una falla similar descubierta en 2019 en los servidores Meta (Facebook) por el probador de lápiz Youssef Sammouda.

En el caso de Meta, el punto final parecía idéntico a:

https://legal.tapprd.thefacebook.com/tapprd/Portal/ShowWorkFlow/AnonymousEmbed/XXXXXXXXXXXXX 

Es comprensible que, por razones de seguridad, el investigador no reveló el extremo vulnerable de Uber.

Él cuestionado Uber, "trae el tuyo [calculator] y dime cuál sería el resultado si esta vulnerabilidad se usara con los 57 millones de correos electrónicos [addresses that leaked] desde la última filtración de datos? "

"Si conoce el resultado, informe a sus empleados del equipo de triaje de recompensas por errores".

Elsallamy se refiere a la filtración de datos de Uber en 2016 que reveló la información personal de 57 millones de clientes y conductores de Uber.

Por este incidente, la Oficina del Comisionado de Información (ICO) del Reino Unido multó a Uber con £ 385,000, junto con la autoridad holandesa de protección de datos (Autoriteit Persoonsgegevens) que multó a la compañía con € 600,000.

Al explotar esta vulnerabilidad no parcheada, los adversarios pueden potencialmente enviar estafas de phishing dirigidas a millones de usuarios de Uber previamente afectados por la infracción.

Cuando se le preguntó qué podría hacer Uber para remediar el defecto, el investigador recomienda:

"Necesitan desinfectar la entrada del usuario en una forma vulnerable no revelada. A medida que se procesa HTML, podrían usar una biblioteca de codificación de seguridad para codificar entidades HTML de modo que cualquier HTML aparezca como texto", dijo. Elsallamy en BleepingComputer.

BleepingComputer se ha puesto en contacto con Uber mucho antes de la publicación, pero no ha recibido una respuesta en este momento.

Los usuarios, el personal, los conductores y los colaboradores de Uber deben tener cuidado con cualquier correo electrónico de phishing enviado por Uber que parezca legítimo, ya que la explotación de esta falla por parte de los actores de amenazas sigue siendo una posibilidad.

Actualización 11:55: se agregó una referencia al mismo defecto informado en 2015/16 y marzo de 2021, pero se rechazó.

Descubre más contenido

Subir Change privacy settings