Recente reportagem publicada pela Bleeping Computer, trouxe à tona o fato de que uma vulnerabilidade no sistema de e-mail da Uber, permite que qualquer pessoa envie e-mails em nome daquela empresa. A Uber é conhecida como uma das pioneiras do sucesso dos aplicativos móveis de compartilhamento de carona e que, de algum modo, revolucionaram a mobilidade urbana nos últimos anos. Acontece que a precitada vulnerabilidade pode ser explorada por agentes de ameaças, com o propósito de organizar e executar campanhas de phishing que poderiam atingir, por encaminhamento de e-mails falsos, 57 milhões de usuários e motoristas do aplicativo Uber, cujas informações, diga-se de passagem, vazaram na violação de dados de 2016. Naquela época, os hackers responsáveis pela invasão da empresa encontraram 57 milhões de nomes, endereços de e-mail e números de telefones celulares. A empresa cogitou que, no Brasil, 196.000 usuários e motoristas parceiros teria sido afetados. Chegou-se a configurar uma página de recursos para as pessoas afetadas pelo ataque cibernético. Noticiou-se que os motoristas receberam proteção gratuita de monitoramento de crédito. Por esse incidente de vazamento de dados, o Information Commissioner’s Office (ICO) do Reino Unido multou a Uber em £ 385.000,00, juntamente com a autoridade de proteção de dados na Holanda (Autoriteit Persoonsgegevens), que também multou a empresa em € 600.000,00.
Entretanto, até a presente data não há notícia sobre a correção da vulnerabilidade. Consta que a falha foi descoberta pelo pesquisador de segurança e “caçador de bugs” (bug bounty hunter), Seif Elsallamy, nos sistemas da Uber, que permite que qualquer pessoa envie e-mails em nome daquela empresa. Esses e-mails, enviados dos servidores da Uber, parecerão tecnicamente legítimos para um provedor de e-mail e, assim, poderão passar por qualquer filtro de spam, de medidas contra os ataques de phishing, ferramentas antimalwares e ir direto para a caixa de entrada do usuário. Elsallamy afirmou que a vulnerabilidade é “uma injeção de HTML em um dos endpoints de e-mail do Uber” e a compara a uma falha semelhante descoberta em 2019, nos servidores da Meta pelo pentester Youssef Sammouda. Nas palavras de Seif Elsallamy, em uma postagem recente no Twitter (@0x21SAFE): “Eu fiz uma pequena pesquisa sobre phishing de e-mail por meio de injeção de HTML, onde um corpo de e-mail pode ser totalmente controlado usando HTML. Fiquei surpreso com o fato de esse problema não ser tão popular quanto eu pensava e sua gravidade ser subestimada”.
O pesquisador afirmou que, ao explorar essa vulnerabilidade não corrigida, os adversários poderão enviar golpes de phishing direcionados (spear phishing) aos milhões de usuários da Uber, anteriormente afetados pela violação de 2016. Recomendou-se que os usuários, funcionários, motoristas e associados à empresa Uber devem verificar se há e-mails de phishing que pareçam legítimos, pois a possibilidade de exploração dessa falha pelos agentes da ameaça ainda permanece. Imagine receber uma mensagem do Uber dizendo: “Seu Uber está chegando agora” ou “Sua viagem matinal de quinta-feira com o Uber” – quando você realizou essas viagens. Em uma demonstração ao colaborador da Bleeping Computer, Axe Sharma, Seif Elsallamy enviou a seguinte mensagem de e-mail que, sem dúvida, parecia ter vindo do Uber e caiu direto na caixa de entrada do alvo:
O formulário de e-mail enviado à Bleeping Computer, pelo pesquisador, pede ao cliente da Uber que forneça as informações do cartão de crédito. Ao clicar em ‘Confirmar’, o formulário submete os campos de texto a um site de teste configurado pelo pesquisador. Eis a prova da potencialidade de golpe pelo uso de e-mails considerados tecnicamente legítimos. Observe, no entanto, que a mensagem tinha uma isenção de responsabilidade clara na parte inferior afirmando, “esta é uma prova de conceito de vulnerabilidade de segurança”, e foi enviada para a Bleeping Computer com permissão prévia. O pesquisador alegou ter relatado a descoberta da vulnerabilidade a Uber, por intermédio da plataforma de recompensa de bugs da HackerOne. Todavia, ocorreu a rejeição do relatório ao argumento de que estava “fora do escopo”, ante a equivocada suposição de que a exploração da vulnerabilidade exigia algum tipo de engenharia social. Indagado pela Bleeping Computer sobre eventual recomendação técnica, Seif Elsallamy sinalizou que: “Eles precisam limpar a entrada dos usuários na forma oculta vulnerável. Como o HTML está sendo renderizado, eles podem usar uma biblioteca de codificação de segurança para fazer a codificação de entidade HTML para que qualquer HTML apareça como texto”. De qualquer modo, todos devem estar atentados à probabilidade do recebimento de e-mails de phishing que possam parecer autênticos e acionar a empresa em caso de dúvida.
Fonte: https://www.cybersafe.news/uber-dismisses-vulnerability-that-lets-you-send-email-from-uber-com/
Fonte: https://www.bbc.com/news/technology-42075306
Fonte: https://www.uber.com/en-CA/newsroom/2016-data-incident/
Fonte: https://hackerone.com/uber?type=team
Fonte: https://twitter.com/0x21SAFE
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
