- iPhone trava e reinicia devido a bug da Apple envolvendo nomes muito longos
- Como funciona o seguro para acidentes pessoais da Uber
Bug atinge servidores da Uber para enviar e-mail falso
O caçador de bugs Seif Elsallamy foi quem descobriu a falha que permite a qualquer um enviar e-mails com o endereço de domínio oficial da Uber. Nesse caso, a falha encontrada vai além do simples spoofing de e-mail: a mensagem forjada ultrapassa as barreiras de segurança DMARC e DKIM dos provedores de e-mail.
Há uma falha nos servidores da Uber que permite a criação de uma conta com um endereço oficial da empresa. O bug resulta de uma injeção de HTML no servidor da Uber, e Elsallamy o compara com uma brecha recente descoberta nos servidores da Meta em 2019, que permitia a criação de e-mails sob o endereço oficial do Facebook ([email protected]).
No caso, a brecha de segurança da Uber é assustadora porque, ao mandar uma mensagem com o @uber.com, ela parte diretamente dos servidores da própria plataforma. Por isso, os e-mails têm uma aparência legítima para os provedores de e-mail (como o Gmail), e passam pelo sistema que, caso contrário, os jogaria para o spam.
Falha no e-mail pode ser potencializada por vazamento
Em demonstração de como funciona o golpe, Elsallamy enviou um e-mail “da Uber” para o Bleeping Computer. Nele, o caçador de bugs pede informações de cadastro do usuário sob o aviso de que sua conta havia sido suspensa. O e-mail parece oficial e contém o endereço oficial da Uber para e-mails promocionais. Ao clicar no botão de “confirmar”, depois do campo para preencher as informações, o dono do e-mail é levado ao site de “teste” montado por Elsallamy.
Imagine receber uma mensagem na caixa de entrada avisando que “seu Uber está quase chegando” ou “Veja suas viagens mais recentes com a Uber”, quando, na verdade, todas levam ao roubo de dados e a fraudes.
Na véspera do ano novo, Elsallamy notificou a Uber sobre o bug. Contudo, o time da empresa responsável por verificar a falha ignorou seu pedido, ao afirmar que a brecha estava “fora de alcance” porque “era baseada em engenharia social”.
O caçador de bugs então foi ao Twitter revelar seus achados, e marcou a Uber para que ela “esteja ciente do resultado que a vulnerabilidade pode ter quando for usada com os 57 milhões de e-mails vazados da última brecha na segurança [da Uber]”
Elsallamy se refere a um vazamento sofrido pela Uber em 2016, que expôs informações pessoais de clientes e motoristas. Por essa falha de cibersegurança, a Uber foi multada em cerca de meio milhão de dólares pela Information Commissioner’s Office (ICO), órgão do Reino Unido para proteção de dados.
Por fim, o caçador de bugs que descobriu a falha da Uber alerta a empresa para limpar o input dos usuários e codificar o HTML por meio de uma biblioteca, para que todos apareçam na forma de textos.
Com informações: Bleeping Computer
Falha nos servidores da Uber permite enviar e-mails falsos com @uber.com
rastrear meu telefone google
Fonte: https://tecnoblog.net/noticias/2022/01/03/falha-nos-servidores-da-uber-permite-enviar-e-mails-falsos-com-uber-com/
Nenhum comentário:
Antes de deixar um comentário, acesse o site meuspy.com e veja como é fácil espionar celulares.