Uber ignora una vulnerabilidad que permite enviar cualquier correo electrónico desde su dominio

6 enero, 2022

Una vulnerabilidad en el sistema de correo electrónico de Uber permite que casi cualquier persona envíe correos electrónicos en nombre de Uber.

El investigador que descubrió esta vulnerabilidad advierte que los ciberdelincuentes pueden explotar esta vulnerabilidad para enviar correos electrónicos a 57 millones de usuarios y conductores de Uber. Recordemos que la información de clientes y conductores fue filtrada en una infracción de datos en 2016.

Uber parece ser consciente de la vulnerabilidad, pero por ahora no la ha solucionado.

‘Tu Uber está llegando ahora’

El investigador de seguridad y cazarrecompensas de errores Seif Elsallamy descubrió la vulnerabilidad en los sistemas de Uber que permite a cualquiera enviar correos electrónicos en nombre de Uber.

Estos correos electrónicos, enviados desde los servidores de Uber, parecerían legítimos para un proveedor de correo electrónico (porque técnicamente lo son). Por lo tanto, superarían los filtros de correo no deseado (spam).

Imagínate recibir un mensaje de Uber que diga: “Tu Uber está llegando ahora” o “Tu viaje del jueves por la mañana con Uber”, cuando nunca hiciste esos viajes.

Demostración

En una demostración, Elsallamy envió el siguiente mensaje de correo electrónico que, sin lugar a dudas, parecía provenir de Uber. El correo llegó directamente a la bandeja de entrada, no a la bandeja de spam:

**Correo electrónico de prueba de concepto enviado desde los servidores de Uber**

El formulario de correo electrónico enviado por el investigador insta al cliente de Uber a proporcionar la información de su tarjeta de crédito.

Al hacer clic en “Confirmar”, el formulario envía los campos de texto a un sitio de prueba configurado por el investigador.

Sin embargo, ten en cuenta que el mensaje tenía un claro descargo de responsabilidad en la parte inferior. El descargo decía “esta es una prueba de concepto de vulnerabilidad de seguridad” y se envió con permiso previo.

**Descargo de responsabilidad en la prueba del correo electrónico enviado desde Uber**

En la víspera de Año Nuevo de 2021, el investigador informó responsablemente la vulnerabilidad a Uber a través de su programa de recompensas por errores en HackerOne.

Sin embargo, su informe fue rechazado por estar “fuera del alcance”. Uber lo rechazó bajo el supuesto erróneo de que la explotación de la vulnerabilidad técnica en sí misma requería alguna forma de ingeniería social:

**Uber rechaza el informe de un investigador. La empresa concluyó que se equiere ingeniería social**

Parece que esta no es la primera vez que Uber descarta esta vulnerabilidad en particular.

Los cazarrecompensas de errores Soufiane el Habti y Shiva Maharaj afirman que previamente habían informado del problema a Uber sin éxito.

57 millones de clientes y conductores de Uber en riesgo

Contrariamente a lo que uno pueda creer, este no es un simple caso de suplantación de correo electrónico utilizado por los ciberdelincuentes para crear correos electrónicos de suplantación de identidad.

De hecho, el correo electrónico enviado por el investigador “desde Uber” pasó los controles de seguridad DKIM y DMARC, según los encabezados de correo electrónico observados.

**El correo electrónico enviado “desde Uber” pasó los controles de seguridad DKIM y DMARC**

El correo electrónico del investigador se envió a través de SendGrid, una plataforma de marketing por correo electrónico y comunicaciones con el cliente utilizada por empresas reconocidas.

Pero, Elsallamy dice que es un punto final expuesto en los servidores de Uber responsable de la vulnerabilidad. Este permite que cualquiera cree un correo electrónico en nombre de Uber.

La vulnerabilidad es “una inyección HTML en uno de los puntos finales de correo electrónico de Uber”, dice Elsallamy. Él hace una comparación con una vulnerabilidad similar descubierta en 2019 en los servidores de Meta (Facebook) por el investigador de seguridad Youssef Sammouda.

En el caso de Meta, el punto final parecía idéntico a:

https://legal.tapprd.thefacebook.com/tapprd/Portal/ShowWorkFlow/AnonymousEmbed/XXXXXXXXXXXXX

Es comprensible que, por razones de seguridad, el investigador no reveló el punto final vulnerable de Uber.

Uber fue cuestionado, “Trae tu [calculadora] y dime cuál sería el resultado si esta vulnerabilidad se ha utilizado con los 57 millones de correos electrónicos [direcciones] que se revelaron de la última filtración de datos?”

“Si conoces el resultado, debes informarlo a tus empleados en el equipo de triaje de recompensas de errores”.

Filtración de datos

Elsallamy se refiere a la filtración de datos de Uber en 2016 que expuso la información personal de 57 millones de clientes y conductores de Uber .

Por este percance, la Oficina del Comisionado de Información (ICO) del Reino Unido multó a Uber con £385,000 (aproximadamente $500,000). Asimismo, La Autoridad de Protección de Datos en los Países Bajos (Autoriteit Persoonsgegevens) multó a la compañía con €600,000 (aproximadamente $675,000).

Al explotar esta vulnerabilidad sin parches, los atacantes pueden potencialmente enviar estafas de phishing dirigidas a millones de usuarios de Uber previamente afectados por la filtración.

Cuando le preguntamos qué podría hacer Uber para solucionar la vulnerabilidad, el investigador advirtió:

“Necesitan validar correctamente la entrada de los usuarios en el formulario vulnerable no revelado. Dado que el HTML se está procesando, pueden usar una biblioteca de codificación de seguridad para codificar entidades HTML para que cualquier HTML aparezca como texto”.

Nos hemos comunicado con Uber mucho antes de la publicación, pero no hemos recibido respuesta en este momento.

Los usuarios, el personal, los conductores y los asociados de Uber deben estar atentos a los correos electrónicos de phishing enviados desde Uber que parezcan legítimos. Esto porque la explotación de esta vulnerabilidad por parte de los ciberdelincuentes sigue siendo una posibilidad.