Mercado abrirá em 4 h 25 min
  • BOVESPA

    108.941,68
    -160,32 (-0,15%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    51.599,38
    -909,02 (-1,73%)
     
  • PETROLEO CRU

    85,62
    +0,48 (+0,56%)
     
  • OURO

    1.838,20
    +6,40 (+0,35%)
     
  • BTC-USD

    35.265,01
    -379,68 (-1,07%)
     
  • CMC Crypto 200

    812,25
    +569,57 (+234,70%)
     
  • S&P500

    4.397,94
    -84,79 (-1,89%)
     
  • DOW JONES

    34.265,37
    -450,03 (-1,30%)
     
  • FTSE

    7.494,13
    -90,88 (-1,20%)
     
  • HANG SENG

    24.635,87
    -329,68 (-1,32%)
     
  • NIKKEI

    27.588,37
    +66,11 (+0,24%)
     
  • NASDAQ

    14.491,50
    +65,00 (+0,45%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    6,1755
    -0,0145 (-0,23%)
     

Uber | Falha permite envio de e-mails para usuários em nome da empresa

·3 min de leitura

Uma abertura grave nos servidores da Uber pode permitir que atacantes enviem e-mails para os usuários em nome da companhia. A brecha foi localizada na última semana por um pesquisador de segurança e coloca em risco, principalmente, as 57 milhões de pessoas que tiveram seus dados vazados como parte de uma exposição ocorrida em 2017, com banco de dados disponível publicamente e contendo tanto passageiros quanto motoristas.

A ideia chega a ser simples para um atacante, que já tem a confirmação de que esse volume pertence a usuários dos serviços da empresa. Sendo assim, eles seriam mais suscetíveis ao recebimento de uma mensagem fraudulenta em nome da Uber, que pode ser usada para roubo de dados e instalação de malware, além de outros tipos de golpes envolvendo corridas, entregas de comida e produtos, além das contas corporativas.

A prova de conceito da exploração foi apresentada ao site Bleeping Computer pelo pesquisador Seif Elsallamy. Ele enviou à reportagem um e-mail que parece ter como origem os servidores e domínios da companhia, informando sobre um bloqueio em uma conta corporativa e solicitando dados de cartão de crédito para reativação. Caso fossem preenchidos, os campos teriam as informações enviadas de volta a uma plataforma sob o controle dele, fora dos sistemas do serviço de transportes.

Ajuda na exploração o fato de a mensagem ter passado por checagens usuais de segurança e, como é oriunda de um servidor legítimo, acabar sendo entendida como tal por sistemas antispam, ainda que seu conteúdo seja perigoso. Ainda, a comunicação saiu de um sistema de e-mail marketing reconhecido e utilizado por grandes companhias no envio de mensagens em massa para sua base de clientes.

<em>Para comprovar brecha, pesquisador enviou e-mail que capturaria dados bancários a partir de servidor da Uber; empresa dispensou denúncia de vulnerabilidade e não se pronunciou sobre o assunto (Imagem: Reprodução/Bleeping Computer)</em>
Para comprovar brecha, pesquisador enviou e-mail que capturaria dados bancários a partir de servidor da Uber; empresa dispensou denúncia de vulnerabilidade e não se pronunciou sobre o assunto (Imagem: Reprodução/Bleeping Computer)

De acordo com Elsallamy, o problema está em um endpoint de um dos servidores da companhia, que estaria suscetível a um ataque envolvendo a injeção de códigos em HTML. Ele afirma que uma brecha semelhante, no Facebook, foi apontada em 2019 pelo pesquisador em segurança Youssef Sammouda e corrigida por meio do programa de bug bounty da companhia.

Não foi o caso da Uber, entretanto, com a empresa negando a validade da brecha ao afirmar que ela somente seria aplicável a partir de um ataque de engenharia social contra um funcionário da companhia. Não foi o caso, confirme demonstrado pelo pesquisador, e a reportagem aponta ainda outros três casos em que uma vulnerabilidade semelhante foi reportada e não corrigida pela companhia.

Atenção aos detalhes

A falha permanece ativa e, enquanto não existem indícios de exploração maliciosa, os detalhes foram mantidos em sigilo justamente para evitar isso. Apenas a própria divulgação que uma brecha desse tipo existe, entretanto, já deve atiçar os criminosos a procurarem a abertura, que segue podendo ser utilizada por criminosos enquanto a companhia não se posiciona sobre o problema.

Aos usuários, a recomendação é de cautela quanto a todos os tipos de e-mails que chegarem em nome de serviços ou plataformas. Vale prestar atenção na linguagem, termos e até no tipo de dado solicitado, evitando clicar em links ou preencher informações sem ter certeza absoluta do que está fazendo; na dúvida, é melhor ignorar o contato ou, então, buscar os meios de suporte oficiais.

O Canaltech entrou em contato com a Uber sobre o assunto, mas a empresa não havia retornado até a publicação desta reportagem.

Fonte: Canaltech

Trending no Canaltech:

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos