Overslaan en naar de inhoud gaan

Lek maakt mailen vanuit Uber mogelijk

Een kwetsbaarheid in het emailsysteem van Uber maakt het mogelijk mail te versturen vanaf de servers van het bedrijf. Mails die op die manier worden verstuurd zijn niet van ‘echte’ Uber-mail te onderscheiden. Dat meldt Bleepingcomputer op basis van de bevindingen van bug bounty hunter Seif Elsallamy.
Uber kwetsbaar
© Shutterstock
Shutterstock

Elsallamy demonstreerde het mogelijke misbruik van het gevonden lek door een (fake) phishing mail te versturen, die als legitieme Uber-mail binnenkwam bij Bleepingcomputer-redacteur Ax Sharma. Naar zijn zeggen is het mogelijk op deze manier ieder denkbare mail te versturen alsof het rechtstreeks van Uber zelf afkomstig is – omdat het ook daadwerkelijk vanaf de Uber servers wordt verzonden.

Geen spoofing

Dat gaat dus verder dan de klassieke ‘email spoofing’, waarbij de afzender het net laat lijken alsof een (phishing) mail van een legitiem mailadres afkomstig is. In dit geval constateerde Bleepingcomputer dat de mail ook DKIM en DMARC security checks kon doorstaan – authenticatiechecks die normaal gesproken valse e-mails moeten detecteren. Elsallamy maakte voor zijn demonstratie gebruik van SendGrid, een veel gebruikt programma voor email-marketing waarmee grote bedrijven met klanten communiceren.

In combinatie met de miljoenen mailadressen, die na een hack bij Uber in 2016 op straat kwamen te liggen, wordt het mogelijk grote groepen klanten en chauffeurs te benaderen met kwaadaardige mail die voor de ontvangers niet te onderscheiden is van legitieme Uber-mail.

Geen actie

De kwetsbaarheid is volgens Elsallamy “een HTML-injectie in een van Uber’s email endpoints”. De kwetsbaarheid werd op oudejaarsavond 2021 aan Uber voorgelegd via hun HackerOne bugbounty-programma, maar werd daar niet geaccepteerd omdat misbruik van de kwetsbaarheid afhankelijk zou zijn van een vorm van social engineering, wat volgens Bleepingcomputer nadrukkelijk niet het geval is. Dezelfde kwetsbaarheid zou al meerdere malen door andere andere bug bounty hunters zijn gerapporteerd, zonder dat Uber er actie op heeft ondernomen.

Vooralsnog heeft Uber geen commentaar gegeven op de kwetsbaarheid. Klanten en chauffeurs van Uber wordt aangeraden alert te zijn op mogelijk verdachte mails die afkomstig lijken van Uber zelf.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in