Um pesquisador de segurança online apontou uma falha no Uber que deixa qualquer pessoa mandar emails em nome da empresa, utilizando endereços com @uber.com. A falha foi notificada à companhia através do site de segurança Hacker One.

Em sites como o Hacker One, as empresas fazem triagem dos bugs notificados e decidem resolvê-los ou apenas anotam como “informação recebida”. Os caçadores de bugs ganham reputação e recompensa conforme os resultados de suas pesquisas são resolvidos pelas empresas.

Uber recebe quatro denúncias da mesma falha de segurança

Neste caso, a empresa rapidamente dispensou a denúncia como informação recebida, sem lidar com o problema. Ao discutir o caso no Twitter, o pesquisador foi informado que outros profissionais de segurança tiveram o mesmo problema. O pesquisador afirma que o erro poderia expor 57 milhões de usuários da plataforma a criminosos.

A mesma falha foi ignorada, no mínimo, quatro vezes pelo Uber. Dois outros pesquisadores notificaram a empresa mais de uma vez e tiveram a mesma resposta de que o bug não era importante, de acordo com o Bleeping Computer.

Para mostrar o problema da falha de envio de emails, os próprios pesquisadores fizeram mensagens do tipo “prova de conceito” que mostram como seria receber uma mensagem de um endereço falso @uber.com. Eles copiaram o modelo dos emails do companhia e mostraram que mensagens podem ser enviadas para coletar dados dos usuários, inclusive de pagamentos.

A empresa não se posicionou oficialmente sobre as falhas e os registros de respostas que ignoraram o problema.

Comentários

0

Please give us your valuable comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Inscrever-se
Notificar de
0 Comentários
Feedbacks embutidos
Ver todos os comentários