Uber ignora vulnerabilidad que permite enviar cualquier correo electrónico desde Uber.com

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Un error de software permite que prácticamente cualquiera puede enviar un correo electrónico desde el dominio Uber.com. No, Uber no lo ha hecho intencionadamente. Sin embargo, está optando por ignorar el problema, por el momento.

Estas son las conclusiones de múltiples investigadores de seguridad, que culpan a un punto final expuesto en los servidores de Uber que permite a cualquiera utilizar SendGrid, una plataforma de marketing por correo electrónico y comunicaciones con los clientes, para enviar correos electrónicos en nombre del gigante de los viajes en taxi.

La vulnerabilidad es “una inyección de HTML en uno de los puntos finales de correo electrónico de Uber”, dijo a BleepingComputer el investigador de seguridad y cazador de recompensas de errores, Seif Elsallamy. Estos correos electrónicos pueden pasar las comprobaciones de seguridad DKIM y DMARC y llegar sin problemas a las bandejas de entrada de los usuarios, añade el informe.

En un correo electrónico de demostración, Elsallamy elaboró un mensaje en el que se advertía al usuario de que su cuenta estaba a punto de ser suspendida y que debía volver a enviar sus datos de pago. Estos correos electrónicos, que podrían ser fácilmente aprovechados para obtener datos sensibles y de pago de millones de clientes de Uber que pagan, se enviarían desde un dominio legítimo de Uber. Este es sólo un ejemplo de la potencia del fallo. La distribución de malware, ransomware o simple spam, son todas posibilidades realistas.

Para solucionar el problema, Uber necesita “sanear la entrada de los usuarios en el formulario vulnerable no revelado”, explica.

“Dado que el HTML se está renderizando, podrían utilizar una biblioteca de codificación de seguridad para hacer la codificación de entidades HTML para que cualquier HTML aparezca como texto”.

Uber se mantiene en silencio por el momento y, al parecer, sin intención de remediar el problema. Elsallamy señala que Uber tiene la impresión de que para que el fallo se utilice, tiene que haber “alguna forma” de ingeniería social, y lo ha descartado como tal.

Está por ver si este fallo repite la filtración de datos de 2016, que expuso datos sensibles de 57 millones de clientes y conductores. Hace seis años, la ICO multó a la empresa con 520.000 dólares por la violación, y el organismo de control de datos de los Países Bajos añadió otros 680.000 dólares.

Con información de TechRadar.