Uber ignora falha de segurança online diversas vezes

Um pesquisador de segurança online apontou uma falha no Uber que deixa qualquer pessoa mandar emails em nome da empresa, utilizando endereços com @uber.com. A falha foi notificada à companhia através do site de segurança Hacker One.

Em sites como o Hacker One, as empresas fazem triagem dos bugs notificados e decidem resolvê-los ou apenas anotam como “informação recebida”. Os caçadores de bugs ganham reputação e recompensa conforme os resultados de suas pesquisas são resolvidos pelas empresas.

Uber recebe quatro denúncias da mesma falha de segurança

Neste caso, a empresa rapidamente dispensou a denúncia como informação recebida, sem lidar com o problema. Ao discutir o caso no Twitter, o pesquisador foi informado que outros profissionais de segurança tiveram o mesmo problema. O pesquisador afirma que o erro poderia expor 57 milhões de usuários da plataforma a criminosos.

A mesma falha foi ignorada, no mínimo, quatro vezes pelo Uber. Dois outros pesquisadores notificaram a empresa mais de uma vez e tiveram a mesma resposta de que o bug não era importante, de acordo com o Bleeping Computer.

Para mostrar o problema da falha de envio de emails, os próprios pesquisadores fizeram mensagens do tipo “prova de conceito” que mostram como seria receber uma mensagem de um endereço falso @uber.com. Eles copiaram o modelo dos emails do companhia e mostraram que mensagens podem ser enviadas para coletar dados dos usuários, inclusive de pagamentos.

A empresa não se posicionou oficialmente sobre as falhas e os registros de respostas que ignoraram o problema.

Hi @Uber @Uber_Support bring your calc and tell me what would be the result if this vulnerability has been used with the 57 million email address that has been leaked from the last data breach?
If you know the result then tell your employees in the bug bounty triage team. pic.twitter.com/f9yKIoCJ6O

— SAFE ? (@0x21SAFE) December 31, 2021