Una vulnerabilidad en el sistema de correo electrónico de Uber permite a casi cualquier persona enviar correos electrónicos en nombre de Uber. Estos correos electrónicos, que se pueden enviar desde los servidores de Uber, parecen legítimos para cualquier proveedor de correo electrónico (porque técnicamente lo son) y pasarían cualquier filtro de spam.
Uber parece ser consciente del fallo, pero no lo ha solucionado por ahora, según lo que ha descubierto el investigador de seguridad y cazador de recompensas de errores Seif Elsallamy, que fue quien vio cómo cualquier puede enviar mails haciéndose pasar por Uber.
Esta vulnerabilidad puede servir para robarte datos
Imagen publicada en Bleeping Computer
Hay que recordar que en el año 2016 se filtró la información de 57 millones de usuarios y conductores de Uber. Por lo que, si un ciberdelincuente quiere aprovechar este error, tiene una buena base de datos a la que recurrir.
De hecho, esas informaciones se vendían en la Darknet como publicamos desde Genbeta. Un año antes de eso, en 2015, también hubo una brecha de seguridad que expuso la información de decenas de miles de conductores de la app.
¿Cómo se podría usar esta vulnerabilidad por parte de algún ciberdelincuente? Según el investigador que ha descubierto el error, un cliente de la app podría recibir un mensaje que diga "Su Uber está llegando ahora" o "Su viaje del jueves por la mañana con Uber", cuando nunca has reservado este viaje y causar confusión.
Pero aún más peligroso que eso, un cliente podría recibir un mensaje desde Uber que diga que tiene que actualizar los datos de su tarjeta de crédito o sus datos de pago. El propio Elsallamy envió a un periodista de Bleeping Computer un mensaje de correo electrónico que parecía provenir de Uber (tal y como lo puedes ver en la fotografía anterior) y que según la información aportada, llegó a la bandeja de entrada, no a la de spam, lo que es lógico porque llega desde el propio servidor de la app de VTC.
En el mail enviado de prueba para demostrar que este error puede ser peligroso, se muestra también que el ciberdelincuente puede añadir al mail un enlace a un sitio web malicioso, donde la persona puede introducir estos datos clave de su tarjeta bancaria.
El investigador informó de la vulnerabilidad a Uber a través de su programa de recompensas por errores HackerOne justo antes de arrancar 2022. Se desconoce si alguien se ha aprovechado hasta el momento de este error, pero el investigador dice que Uber ha ignorado el informe del fallo.
Concretamente, cuando el investigador envió su descubrimiento a Uber, la denuncia fue rechazada por estar "fuera de alcance", ya que supone que la explotación del fallo técnico requiere de alguna forma de ingeniería social. Tras conocerse esto, otros investigadores han dicho haber informado previamente a Uber del error, por lo que no es algo nuevo.
Ver 1 comentarios