O enorme buraco de segurança permite que qualquer pessoa envie emails do domínio oficial do Uber

Uma falha de segurança significativa em UberO sistema de e-mail da empresa permite que qualquer pessoa envie e-mails do domínio oficial Uber.com da empresa. Com sede em San Francisco, Califórnia, o Uber é um dos maiores agregadores de cabine com operações em dezenas de países em todo o mundo. A empresa diz ter cerca de 69 por cento do mercado de rideshare nos EUA, enquanto Lyft responde pelo resto.

Como a maioria das outras empresas de tecnologia, o Uber também tem um programa de recompensa por bug que paga recompensas por detectar vulnerabilidades nos sistemas de software da empresa. A empresa pagou mais de US $ 2,8 milhões em recompensa por bugs ao longo dos anos, incluindo US $ 16.000 nos últimos 90 dias, mas esta vulnerabilidade específica no sistema de e-mail permanece sem correção até agora. Uber já suportou várias controvérsias ao longo dos anos, e a última coisa que ele deseja é criar um novo problema de segurança, não levando o bug de e-mail a sério.

Vários pesquisadores de segurança descobriram um bug grave no sistema de e-mail do Uber, permitindo que pessoas não autorizadas enviem e-mails do domínio Uber.com. Os pesquisadores afirmam que um endpoint exposto nos servidores Uber é a razão por trás do problema, embora a empresa aparentemente não se dê ao trabalho de consertá-lo. Descrevendo a vulnerabilidade para

Biping Computer, o pesquisador de segurança e caçador de recompensas de bug Seif Elsallamy disse que o bug é "uma injeção de HTML em um dos endpoints de e-mail do Uber" e pode passar nas verificações de segurança DKIM e DMARC para chegar às caixas de entrada de e-mail das pessoas.

O Uber está ignorando o problema de boa vontade

Elsallamy também envia um e-mail de prova de conceito para Biping Computer do domínio Uber.com usando SendGrid, uma plataforma de email marketing e comunicação com o cliente, para mostrar como é fácil explorar o endpoint exposto. No entanto, Elsallamy não divulgou o endpoint Uber vulnerável, pois isso teria criado um problema de segurança para a empresa, seus clientes e parceiros motoristas. A partir de janeiro 3, a vulnerabilidade permanece sem correção e pode permitir que agentes mal-intencionados enviem e-mails de phishing para Usuários Uber cujos IDs de e-mail vazaram em uma violação de dados em 2016.

Notavelmente, o Uber não parece interessado em corrigir a vulnerabilidade, apesar de ter sido alertado sobre o problema em várias ocasiões por vários pesquisadores. No caso de Elsallamy, apesar de relatar o problema ao Uber como parte do HackerOne programa de recompensa de bug, seu relatório foi rejeitado por ser "fora do escopo." O mesmo bug já havia sido relatado por pelo menos dois outros pesquisadores de segurança, e eles também aparentemente receberam respostas semelhantes do Uber.

Na verdade, a primeira vez que o problema foi detectado foi em 2015/16, mas foi descartado pelo Uber. O problema foi relatado novamente em março de 2021, apenas para enfrentar a rejeição mais uma vez. Agora que está recebendo ampla cobertura da mídia, será interessante ver se o Uber finalmente se recomporá e consertará essa falha de segurança de longa data de uma vez por todas.

Fonte: Biping Computer

Irmãs esposas: por que Kody Brown nunca foi romântica com Janelle