Uma abertura grave nos servidores da Uber pode permitir que atacantes enviem e-mails para os usuários em nome da companhia. A brecha foi localizada na última semana por um pesquisador de segurança e coloca em risco, principalmente, as 57 milhões de pessoas que tiveram seus dados vazados como parte de uma exposição ocorrida em 2017, com banco de dados disponível publicamente e contendo tanto passageiros quanto motoristas.

A ideia chega a ser simples para um atacante, que já tem a confirmação de que esse volume pertence a usuários dos serviços da empresa. Sendo assim, eles seriam mais suscetíveis ao recebimento de uma mensagem fraudulenta em nome da Uber, que pode ser usada para roubo de dados e instalação de malware, além de outros tipos de golpes envolvendo corridas, entregas de comida e produtos, além das contas corporativas.

A prova de conceito da exploração foi apresentada ao site Bleeping Computer pelo pesquisador Seif Elsallamy. Ele enviou à reportagem um e-mail que parece ter como origem os servidores e domínios da companhia, informando sobre um bloqueio em uma conta corporativa e solicitando dados de cartão de crédito para reativação. Caso fossem preenchidos, os campos teriam as informações enviadas de volta a uma plataforma sob o controle dele, fora dos sistemas do serviço de transportes.

Ajuda na exploração o fato de a mensagem ter passado por checagens usuais de segurança e, como é oriunda de um servidor legítimo, acabar sendo entendida como tal por sistemas antispam, ainda que seu conteúdo seja perigoso. Ainda, a comunicação saiu de um sistema de e-mail marketing reconhecido e utilizado por grandes companhias no envio de mensagens em massa para sua base de clientes.

Para comprovar brecha, pesquisador enviou e-mail que capturaria dados bancários a partir de servidor da Uber; empresa dispensou denúncia de vulnerabilidade e não se pronunciou sobre o assunto (Imagem: Reprodução/Bleeping Computer)

De acordo com Elsallamy, o problema está em um endpoint de um dos servidores da companhia, que estaria suscetível a um ataque envolvendo a injeção de códigos em HTML. Ele afirma que uma brecha semelhante, no Facebook, foi apontada em 2019 pelo pesquisador em segurança Youssef Sammouda e corrigida por meio do programa de bug bounty da companhia.

Não foi o caso da Uber, entretanto, com a empresa negando a validade da brecha ao afirmar que ela somente seria aplicável a partir de um ataque de engenharia social contra um funcionário da companhia. Não foi o caso, confirme demonstrado pelo pesquisador, e a reportagem aponta ainda outros três casos em que uma vulnerabilidade semelhante foi reportada e não corrigida pela companhia.

Atenção aos detalhes

A falha permanece ativa e, enquanto não existem indícios de exploração maliciosa, os detalhes foram mantidos em sigilo justamente para evitar isso. Apenas a própria divulgação que uma brecha desse tipo existe, entretanto, já deve atiçar os criminosos a procurarem a abertura, que segue podendo ser utilizada por criminosos enquanto a companhia não se posiciona sobre o problema.

Aos usuários, a recomendação é de cautela quanto a todos os tipos de e-mails que chegarem em nome de serviços ou plataformas. Vale prestar atenção na linguagem, termos e até no tipo de dado solicitado, evitando clicar em links ou preencher informações sem ter certeza absoluta do que está fazendo; na dúvida, é melhor ignorar o contato ou, então, buscar os meios de suporte oficiais.

O Canaltech entrou em contato com a Uber sobre o assunto, mas a empresa não havia retornado até a publicação desta reportagem.