Lek maakt mailen vanuit Uber mogelijk

Elsallamy demonstreerde het mogelijke misbruik van het gevonden lek door een (fake) phishing mail te versturen, die als legitieme Uber-mail binnenkwam bij Bleepingcomputer-redacteur Ax Sharma. Naar zijn zeggen is het mogelijk op deze manier ieder denkbare mail te versturen alsof het rechtstreeks van Uber zelf afkomstig is – omdat het ook daadwerkelijk vanaf de Uber servers wordt verzonden.

Geen spoofing

Dat gaat dus verder dan de klassieke ‘email spoofing’, waarbij de afzender het net laat lijken alsof een (phishing) mail van een legitiem mailadres afkomstig is. In dit geval constateerde Bleepingcomputer dat de mail ook DKIM en DMARC security checks kon doorstaan – authenticatiechecks die normaal gesproken valse e-mails moeten detecteren. Elsallamy maakte voor zijn demonstratie gebruik van SendGrid, een veel gebruikt programma voor email-marketing waarmee grote bedrijven met klanten communiceren.

In combinatie met de miljoenen mailadressen, die na een hack bij Uber in 2016 op straat kwamen te liggen, wordt het mogelijk grote groepen klanten en chauffeurs te benaderen met kwaadaardige mail die voor de ontvangers niet te onderscheiden is van legitieme Uber-mail.

Geen actie

De kwetsbaarheid is volgens Elsallamy “een HTML-injectie in een van Uber’s email endpoints”. De kwetsbaarheid werd op oudejaarsavond 2021 aan Uber voorgelegd via hun HackerOne bugbounty-programma, maar werd daar niet geaccepteerd omdat misbruik van de kwetsbaarheid afhankelijk zou zijn van een vorm van social engineering, wat volgens Bleepingcomputer nadrukkelijk niet het geval is. Dezelfde kwetsbaarheid zou al meerdere malen door andere andere bug bounty hunters zijn gerapporteerd, zonder dat Uber er actie op heeft ondernomen.

Vooralsnog heeft Uber geen commentaar gegeven op de kwetsbaarheid. Klanten en chauffeurs van Uber wordt aangeraden alert te zijn op mogelijk verdachte mails die afkomstig lijken van Uber zelf.