Ahora mismo cualquiera puede enviar un correo electrónico desde el dominio Uber.com. No, Uber no lo ha hecho así intencionadamente pero ha elegido ignorar el problema por el momento.
Éstas son las conclusiones de múltiples investigadores de seguridad, que afirman que un punto débil expuesto en los servidores de Uber permite que cualquiera pueda utilizar SendGrid, una plataforma de marketing por correo electrónico y comunicaciones con clientes. Usando este método, pueden enviar correos electrónicos en nombre del gigante de los taxi.
La vulnerabilidad es "una inyección de HTML en uno de los puntos de correo electrónico de Uber", asegura a BleepingComputer el investigador de seguridad y cazador de recompensas de errores Seif Elsallamy. Estos correos electrónicos pueden ignorar las comprobaciones de seguridad DKIM y DMARC y llegar sin problemas a las bandejas de entrada de usuarios finales, dice el informe.
Phishing deluxe
Elsallamy demostró enviando un mensaje que anunciaba al usuario que su cuenta estaba a punto de ser suspendida y que debía volver a enviar sus datos de pago. Lógicamente, muchos de los que vean un correo así viniendo directamente de Uber.com, lo más probable es que lo crea y envíe la información que le pidan.
El resultado es que esta vulnerabilidad podría ser fácilmente aprovechada para obtener datos privados y de pago de millones de clientes de Uber, aprovechando la garantía de que los correos son enviados desde un dominio legítimo de Uber. Este es sólo un ejemplo, hay mucho más, como la distribución de malware, ransomware o simple spam.
Para solucionar este problema, Uber necesita bloquear la entradas de terceros en un formulario vulnerable no revelado, dice el experto en seguridad. "Dado que el HTML se está renderizando, podrían utilizar una biblioteca de codificación de seguridad para hacer la codificación de entidades HTML para que cualquier HTML aparezca como texto".
Uber ha mantenido silencio de radio por el momento y, al parecer, no tiene intención de remediar este problema con posibles graves consecuencias. Elsallamy señala que Uber tiene la impresión de que, para que el fallo se utilice, tiene que producirse un ataque de ingeniería social, así que ha descartado el error como tal.
Está por ver si este fallo desemboca en otra filtración de datos como la de 2016, que expuso datos privados de 57 millones de clientes y conductores. Hace seis años la empresa recibió una multa de 520.000 dólares por este problema. El organismo de control de datos de los Países Bajos añadió otros 680.000 dólares [una cantidad irrisoria para una multinacional que quizás deberían multiplicar por 100 para que se tomaran en serio la seguridad — Ed.]
TechRadar Pro se ha puesto en contacto con Uber para que nos dé su versión de los hechos y haga comentarios.
