Um pesquisador de segurança detectou uma falha no sistema de e-mail da Uber que permite que qualquer pessoa envie e-mails se passando pela empresa. As mensagens eletrônicas não são classificadas como suspeita, já que o endereço utilizado pelo remetente é o e-mail legítimo da Uber. Segundo o especialista, a vulnerabilidade é causada por exposição de um dos endpoints de e-mail da Uber.
Em uma demonstração da falha, o pesquisador enviou um e-mail para a equipe do site Bleeping Computer contendo um formulário que pedia o número do cartão de crédito do usuário para que a conta não fosse supostamente suspensa. O e-mail foi recebido normalmente, sem qualquer acusação de spam do provedor e com o endereço legítimo da Uber.
Demonstração da falha de segurança no e-mail da UberFonte: Reprodução/Bleeping Computer
Falta de resposta
A pior parte é que a Uber foi informada do problema de segurança do e-mail, mas considerou erroneamente que para explorar a falha seria necessário uso de engenharia social, algo que estaria “fora do escopo” da Uber. Na véspera de ano novo, o especialista em segurança, responsável pela pesquisa tentou enviar um relatório sobre o problema através de sua plataforma de segurança HackerOne, mas não obteve sucesso.
Resposta da Uber à tentativa de reportar o problemaFonte: Reprodução/Bleeping Computer
Alguns outros usuários já haviam tentado reportar para a Uber sobre o problema, e todas as tentativas sem obter qualquer resposta. Um deles comunicou a empresa em março de 2021, mas o report foi fechado pelo triager da Uber com a classificação de conteúdo “informativo”.
E o e-mail da sua empresa está protegido? Se você tem dúvidas quanto a isso, pode estar colocando a segurança do seu negócio em risco. Chega de se preocupar, comece 2022 tranquilo. Entre agora mesmo em contato com a TND BRASIL.
Fonte: TecMundo