Autor del artículo
Artículos escritos
1

Una vulnerabilidad permite el envío de correos electrónicos de phishing desde Uber.com

Last Updated on enero 8, 2022 by Daniel Cepeda

Un hacker ha descubierto y divulgado recientemente una vulnerabilidad en Uber que el gigante empresarial se ha negado a reconocer. La explotación de la vulnerabilidad permite a un atacante enviar correos electrónicos falsos a través del dominio “uber.com”.

La vulnerabilidad del dominio Uber.com permite falsos correos electrónicos

En un reciente tuit, el cazador de errores Seif Elsalami compartió una captura de pantalla que muestra la reacción de Uber a su informe de error. Los mensajes de la captura de pantalla insinúan que Uber malinterpretó la vulnerabilidad como un ataque de ingeniería social.

Luego, en otro tuit, Elsalami desafió a Uber compartiendo un fragmento de prueba de concepto (y burlándose del hackeo de 2016 ).

Al analizar el problema, Bleeping Computer informó de que el hacker había descubierto específicamente una vulnerabilidad de seguridad en el dominio uber.com.

El hacker observó que la explotación de la vulnerabilidad permite a un atacante enviar correos electrónicos a través del dominio de Uber.

En tiempo real, esta explotación podría dar lugar a graves ataques de phishing, ya que los correos electrónicos parecerían legítimos para el destinatario.

Demostrando el PoC, Bleeping Computer explicó cómo un hacker les envió un correo electrónico desde un dominio de Uber con un texto falso.

Como el correo electrónico procedía de servidores legítimos, llegó directamente a la bandeja de entrada del destinatario, sin causar ninguna preocupación.

Este falso correo electrónico contenía un formulario en el que se pedía al destinatario que facilitara los datos de la tarjeta de pago. Esto explica cómo un atacante de la vida real podría utilizar el fallo para crear estafas de phishing legítimas, ya que el destinatario inevitablemente compartiría los detalles con Uber.

Según Elsalami, la vulnerabilidad es un fallo de inyección de HTML, que suele encontrarse en un punto final abierto en los servidores de Uber.

Uber ha negado un arreglo

Tras descubrir la vulnerabilidad, el hacker informó responsablemente del fallo a Uber a través de su programa de recompensas por fallos HackerOne.

Sin embargo, para su consternación, los responsables de Uber no reconocieron el fallo, calificándolo de “ataque de ingeniería social” (aunque claramente no es así).

En cuanto a una posible solución por parte de Uber, el hacker dijo a Bleeping Computer:

SAFE
Masters Student, Doing a Masters in Cyber Security.
Tienen que sanear la entrada del usuario en una forma vulnerable no revelada. Al procesar el HTML, pueden utilizar una biblioteca de codificación segura para codificar los objetos HTML, de modo que cualquier HTML se represente como texto.

En este momento, no está claro si Uber tiene previsto revertir la decisión sobre este informe de error y corregirlo.

Anteriormente
NoticiasLos hackers han aprendido a apagar el iPhone y a espiar la cámara
Siguiente
NoticiasDescubre qué mensajeros están filtrando tus datos, agotando tu batería y consumiendo tráfico de Internet
Malas.
0
Bien.
1
Genial.
1
Añade un comentario