Una vulnerabilidad permite el envío de correos electrónicos de phishing desde Uber.com
Last Updated on enero 8, 2022 by Daniel Cepeda
Un hacker ha descubierto y divulgado recientemente una vulnerabilidad en Uber que el gigante empresarial se ha negado a reconocer. La explotación de la vulnerabilidad permite a un atacante enviar correos electrónicos falsos a través del dominio “uber.com”.
La vulnerabilidad del dominio Uber.com permite falsos correos electrónicos
En un reciente tuit, el cazador de errores Seif Elsalami compartió una captura de pantalla que muestra la reacción de Uber a su informe de error. Los mensajes de la captura de pantalla insinúan que Uber malinterpretó la vulnerabilidad como un ataque de ingeniería social.
heck this days with triage teams, they don't understand their own policies @Uber @Uber_Support @Hacker0x01 pic.twitter.com/kCQqwR3M3b
— SAFE 😵 (@0x21SAFE) December 31, 2021
Luego, en otro tuit, Elsalami desafió a Uber compartiendo un fragmento de prueba de concepto (y burlándose del hackeo de 2016 ).
Hi @Uber @Uber_Support bring your calc and tell me what would be the result if this vulnerability has been used with the 57 million email address that has been leaked from the last data breach?
If you know the result then tell your employees in the bug bounty triage team. pic.twitter.com/f9yKIoCJ6O— SAFE 😵 (@0x21SAFE) December 31, 2021
Al analizar el problema, Bleeping Computer informó de que el hacker había descubierto específicamente una vulnerabilidad de seguridad en el dominio uber.com.
El hacker observó que la explotación de la vulnerabilidad permite a un atacante enviar correos electrónicos a través del dominio de Uber.
En tiempo real, esta explotación podría dar lugar a graves ataques de phishing, ya que los correos electrónicos parecerían legítimos para el destinatario.
Demostrando el PoC, Bleeping Computer explicó cómo un hacker les envió un correo electrónico desde un dominio de Uber con un texto falso.
Como el correo electrónico procedía de servidores legítimos, llegó directamente a la bandeja de entrada del destinatario, sin causar ninguna preocupación.
Este falso correo electrónico contenía un formulario en el que se pedía al destinatario que facilitara los datos de la tarjeta de pago. Esto explica cómo un atacante de la vida real podría utilizar el fallo para crear estafas de phishing legítimas, ya que el destinatario inevitablemente compartiría los detalles con Uber.
Según Elsalami, la vulnerabilidad es un fallo de inyección de HTML, que suele encontrarse en un punto final abierto en los servidores de Uber.
Uber ha negado un arreglo
Tras descubrir la vulnerabilidad, el hacker informó responsablemente del fallo a Uber a través de su programa de recompensas por fallos HackerOne.
Sin embargo, para su consternación, los responsables de Uber no reconocieron el fallo, calificándolo de “ataque de ingeniería social” (aunque claramente no es así).
En cuanto a una posible solución por parte de Uber, el hacker dijo a Bleeping Computer:
En este momento, no está claro si Uber tiene previsto revertir la decisión sobre este informe de error y corregirlo.
Anteriormente