Uma falha de segurança no sistema de e-mail da Uber permite o envio de mensagens falsas com o endereço eletrônico @uber.com para qualquer pessoa. O caçador de bugs que descobriu o defeito alerta que ele poderia ter um impacto devastador quando combinado com o vazamento de dados que comprometeu as informações de 57 milhões usuários da plataforma, em 2016. A empresa foi notificada pela brecha de segurança, mas até agora não corrigiu o problema.
Bug atinge servidores da Uber para enviar e-mail falso
O caçador de bugs Seif Elsallamy foi quem descobriu a falha que permite a qualquer um enviar e-mails com o endereço de domínio oficial da Uber. Nesse caso, a falha encontrada vai além do simples spoofing de e-mail: a mensagem forjada ultrapassa as barreiras de segurança DMARC e DKIM dos provedores de e-mail.
Há uma falha nos servidores da Uber que permite a criação de uma conta com um endereço oficial da empresa. O bug resulta de uma injeção de HTML no servidor da Uber, e Elsallamy o compara com uma brecha recente descoberta nos servidores da Meta em 2019, que permitia a criação de e-mails sob o endereço oficial do Facebook (legal_noreply@fb.com).
No caso, a brecha de segurança da Uber é assustadora porque, ao mandar uma mensagem com o @uber.com, ela parte diretamente dos servidores da própria plataforma. Por isso, os e-mails têm uma aparência legítima para os provedores de e-mail (como o Gmail), e passam pelo sistema que, caso contrário, os jogaria para o spam.
Falha no e-mail pode ser potencializada por vazamento
Em demonstração de como funciona o golpe, Elsallamy enviou um e-mail “da Uber” para o Bleeping Computer . Nele, o caçador de bugs pede informações de cadastro do usuário sob o aviso de que sua conta havia sido suspensa. O e-mail parece oficial e contém o endereço oficial da Uber para e-mails promocionais. Ao clicar no botão de “confirmar”, depois do campo para preencher as informações, o dono do e-mail é levado ao site de “teste” montado por Elsallamy.
Leia Também
Imagine receber uma mensagem na caixa de entrada avisando que “seu Uber está quase chegando” ou “Veja suas viagens mais recentes com a Uber”, quando, na verdade, todas levam ao roubo de dados e a fraudes.
Na véspera do ano novo, Elsallamy notificou a Uber sobre o bug. Contudo, o time da empresa responsável por verificar a falha ignorou seu pedido, ao afirmar que a brecha estava “fora de alcance” porque “era baseada em engenharia social”.
O caçador de bugs então foi ao Twitter revelar seus achados, e marcou a Uber para que ela “esteja ciente do resultado que a vulnerabilidade pode ter quando for usada com os 57 milhões de e-mails vazados da última brecha na segurança [da Uber]”
Elsallamy se refere a um vazamento sofrido pela Uber em 2016, que expôs informações pessoais de clientes e motoristas. Por essa falha de cibersegurança, a Uber foi multada em cerca de meio milhão de dólares pela Information Commissioner’s Office (ICO), órgão do Reino Unido para proteção de dados.
Por fim, o caçador de bugs que descobriu a falha da Uber alerta a empresa para limpar o input dos usuários e codificar o HTML por meio de uma biblioteca, para que todos apareçam na forma de textos.
Com informações: Bleeping Computer
Falha nos servidores da Uber permite enviar e-mails falsos com @uber.com