• Home /

  • /

  • Cuidado si recibes un e-mail de Uber: puede deberse a una vulnerabilidad que la empresa conoce y no soluciona

Ciberseguridad

Cuidado si recibes un e-mail de Uber: puede deberse a una vulnerabilidad que la empresa conoce y no soluciona

El fallo se encuentra en su sistema de correo electrónico y aprovecha la grave filtración de datos que sufrió la empresa en 2016.

Redactora especializada en Seguridad y Tecnología.

2 minutos

Logo de Uber

Uber no ha comenzado el 2022 con buen pie y ha saltado a la noticia por sufrir una vulnerabilidad en su sistema de correo electrónico que permite a prácticamente cualquier persona enviar e-mails en su nombre. Bleeping Computer ha sido el medio que ha sacado a la luz este error, que ha sido descubierto por el investigador de seguridad y cazador de recompensas de errores Seif Elsallamy.

Según ha advertido el propio Elsallamy, los actores de amenazas pueden abusar de esta vulnerabilidad gracias a la grave filtración de datos que sufrió Uber en el 2016. En ella, se expusieron los datos de 57 millones de usuarios y conductores, y ahora los ciberdelincuentes pueden dirigirse a todos ellos en e-mails que suplantan la identidad de la empresa.

"Estos correos electrónicos, enviados desde los servidores de Uber, parecerían legítimos para un proveedor de correo electrónico (porque técnicamente lo son) y superarían los filtros de correo no deseado", señala Bleeping Computer.

Así, los usuarios podrían recibir mensajes que indiquen "Su Uber está llegando ahora" o "Su viaje del jueves por la mañana con Uber", a pesar de que nunca haya reservado esos viajes. Pero eso no es todo, los e-mails pueden ser mucho más peligrosos y ser la vía para cometer estafas.

En una demostración, Elsallamy envió un correo electrónico a un periodista de Bleeping Computer que parecía provenir de Uber, que llegó a su bandeja de entrada (no a la de spam) y que le instaba a proporcionar información de su tarjeta de crédito para no suspender su cuenta. Al rellenar el formulario, este se enviaba a una página web que en este caso estaba configurada por Elsallamy pero que, en condiciones normales, tendría detrás a los ciberdelincuentes.

Uber conoce esta vulnerabilidad desde hace tiempo, pero no la soluciona

Siguiendo la información del citado medio, el investigador reportó esta vulnerabilidad a Uber a través de su programa de recompensas por errores HackerOne justo antes de arrancar 2022. Sin embargo, la compañía ha rechazado su denuncia por estar "fuera de alcance", ya que supone que la explotación del fallo técnico requiere de alguna forma de ingeniería social.  

"Parece que esta no es la primera vez que Uber descarta esta falla en particular. Los cazarrecompensas de errores Soufiane el Habti y Shiva Maharaj afirman que previamente habían informado sin éxito a Uber del problema", indica Bleeping Computer.

Según Elsallamy, la compañía podría solucionar la vulnerabilidad haciendo lo siguiente: "Necesitan desinfectar la entrada de los usuarios en la forma vulnerable no revelada. Dado que el HTML se está renderizando, pueden usar una biblioteca de codificación de seguridad para codificar entidades HTML para que cualquier HTML aparezca como texto".

Por el momento, Uber sigue sin solventar el problema y Bleeping Computer concluye su información lanzando la esta advertencia: "Los usuarios, el personal, los conductores y los asociados de Uber deben estar atentos a los correos electrónicos de phishing enviados desde Uber que parezcan legítimos, ya que la explotación de esta falla por parte de los actores de amenazas sigue siendo una posibilidad".