jueves, abril 21, 2016

Uber Fail: Un e-mail sin verificar expone tu privacidad

El caso que os voy a contar ahora le pasó a uno de los lectores de El lado del mal y me lo pasó. Tiene que ver con las medidas de seguridad de Uber y la verdad es que parece que sea mentira que a día de hoy haya fallos de seguridad tan garrafales en la gestión de identidades en una empresa como esta. Tras leer la historia, espero que te animes a confirmar correctamente tus datos o podrás tener un disgusto no deseado.

Figura 1: Uber Fail. Una dirección de e-mail sin verificar expone toda tu privacidad

La historia comienza con la recepción por parte de nuestro lector de mensajes de correo procedentes de Uber con información de que se ha dado de alta en el servicio y de un viaje que nunca había realizado. 

Figura 2: Mensaje de bienvenida al servicio Uber

El usuario del viaje se había dado de alta como Rider, o lo que es lo mismo, como pasajero, y parece que lo estaba usando por México, a pesar de que el dueño del correo electrónico es de España, pero los mensajes le llegaban a nuestro amigo en lugar de al usuario de verdad.

Figura 3: e-mail desde Uber con información del viaje

Con esta preocupación contacto con Uber y recibió esta respuesta en la que venían a decirle que el correo electrónico suyo no estaba en ningún sitio asociado a ninguna cuenta de su plataforma.

Figura 4: Mensaje de soporte de Uber diciéndole que no había cuenta con su dirección de e-mail

Por supuesto, el protagonista de esta historia no se había dado de alta en ningún momento, pero el correo que había recibido era legítimo de Uber, lo que significaba que alguna cuenta de usuario había en la plataforma con su dirección de correo electrónico. Tras ver que soporte no le daba respuesta inicialmente, decidió probarlo él mismo y ver si había cuenta o no con su correo. Al llegar al proceso de login en Uber, hace falta tener no solo el correo electrónico, sino también la contraseña, así que no se puede iniciar sesión pese a que la dirección parece ser de algún usuario de la plataforma.

Figura 5: Proceso de login como rider en Uber

Esto no es óbice para conseguir averiguar qué ha sucedido, ya que como podéis ver el sistema de recuperación de contraseñas permite enviar un mensaje a la cuenta de correo electrónico asociada con un enlace para cambiar la contraseña y listo. 

Figura 6: Recuperar la contraseña de la cuenta con introducir el e-mail

Así que una vez dentro, se puede acceder a la información de la cuenta para darse cuenta de que su correo no solo se ha utilizado para crear una cuenta, sino que además Uber saber que no está verificado, que tiene un número de teléfono que sí que está verificado, que tiene datos personales y financieros del usuario y que aún así, Uber ha enviado el enlace para recuperar la contraseña al correo electrónico.

Figura 7: Datos de el usuario en el que se ve que el e-mail está sin verificar

Repito todo por si alguno no se ha quedado con la situación.
1) Uber ha permitido crearse un usuario asociado a un e-mail sin verificar.
2) Uber manda correos de la actividad a un e-mail sin verificar.
3) Uber ha verificado el número de teléfono del usuario.
4) Uber permite que la recuperación de cuenta sea por e-mail (sin verificar) teniendo verificado un número de teléfono.
Lógicamente, esto es un fallo de seguridad en el proceso de gestión de las cuentas de usuario bastante grande y que, como vemos, expone a los clientes y sus datos personales. También, con implicaciones fiscales, ya que se pueden incluso solicitar las facturas con los datos que se desee usando Uber Facturas.

Figura 8: Solicitud de facturas de los viajes

El usuario que se saca la cuenta puede pensar que el correo electrónico ha caído en el spam, que tarda en llegar el mensaje o cualquier otra cosa. Seguramente está confiado de que todo está bien, al fin y al cabo verificó su número de teléfono y pudo hacer uso del servicio, ya que añadió correctamente la tarjeta de crédito a la plataforma y pagó con ella.  Pero no es así. Y además este sistema puede meter en problemas al autentico dueño del correo electrónico que puede verse relacionado con esa persona sin saber quién es. 

Figura 9: La cuenta va creada solo con un e-mail que no es necesario verificar 

No sé si quiera si una forma de gestión de acceso a las cuentas de usuario y los servicios de pago así, pasaría una auditoría PCI completa para las empresas que gestionan medios de pago, pero lo más gracioso es que nuestro protagonista no consiguió que le quitarán el correo electrónico de la cuenta con facilidad, y el servicio de soporte lo explicaba que esto era así por motivos de seguridad.

Figura 10: Respuesta de soporte de Uber para no cambiar la cuenta de e-mail

Este fallo garrafal de permitir el uso de una cuenta sin verificar el correo electrónico ya lo vimos en el pasado con Instagram, pero en este caso es más sangrante porque Uber tiene verificado el número de teléfono y podría haber forzado la recuperación de la contraseña solo por número de teléfono. Pero no fue así.

Saludos Malignos!

12 comentarios:

Inseguro y Navegando dijo...

Esto es lo que se conoce comunmente como, tres en uno; chapuzas, irresponsables y desagradecidos, manda huevos >.<

adonis urbina dijo...

bueno no me sorprende, siempre es un error de dedo, lineas y lineas y no miran las consecuencias solo compilan para salir del paso

OS_C dijo...

También puede deberse a un problema conocido con las cuentas de GMail que consiste en lo siguiente:

En gmail, el caracter punto '.' se ignora en la parte de la dirección que va antes de la @, es decir, es la misma dirección 'fulanito.lopez@gmail.com' que 'fulanitoLopez@gmail.com'.

Por un fallo de GMail, en los inicios del servicio permitía registrar esas direcciones como cuentas diferentes, cuando en realidad son la misma. Es decir, que hay dos personas que tienen la misma cuenta de correo sin saberlo, y por ello, el usarlas como forma de verificar la identidad no sirve.

Esto me pasa a mi con mi cuenta de GMail habitualmente: recibo correos de "tocayos" míos residentes en Chile y en Nueva Jersey, cuando yo vivo en España. Lo raro es que no me llegan todos si no solo algunos, y supongo dependerá de los servidores SMTP intermedios que use Google para enrutar cada mensaje.

Hay más información del propio Google en esta página:
https://support.google.com/mail/answer/10313?hl=es

Saludos...

Salmos dijo...

Por experiencia propia esto mismo se produce con Facebook y con Netflix

Orangután dijo...

Si me pasara a mi y Uber no me ayudara, yo daría de baja la cuenta de Uber (tienes acceso al panel) no sin antes devolverle el dinero a todos los pasajeros. Así el que uso mi cuenta se lo pensará dos veces.

Orangután dijo...

Si me pasara a mi y Uber no me ayudara, yo daría de baja la cuenta de Uber (tienes acceso al panel) no sin antes devolverle el dinero a todos los pasajeros. Así el que uso mi cuenta se lo pensará dos veces.

Alberto P. dijo...

Hola Chema,

Esto mismo me ha pasado a mí con PayPal...repito...CON PAYPAL!!!!!

Un día me llega un correo a mi cuenta pero el nombre no coincide, dándome la enhorabuena por crear una cuenta en PayPal (no había sido yo, claro). Llamé a PayPal para comunicar el error y me dijeron lo mismo, que por seguridad no podían anular ese correo en la cuenta (por seguridad!! jajaja), y por protección de datos tampoco podían contactar con esa persona para que lo cambiara. Hice una reclamación a través de un formulario de su página, sin respuesta a día de hoy.

Pasado un tiempo volví a comprobar que la cuenta seguía existiendo, así que, al no tener respuesta de PayPal me decidí a recuperar la contraseña de "mi cuenta", temiendo que posibles transacciones de la persona que realmente creó la cuenta pudieran relacionarse conmigo por la cuenta de correo, y mi sorpresa fue la misma que lo que cuentas, fue tan sencillo como hacer un clic, recibir un correo con la nueva contraseña y ya pude entrar a la cuenta.

Volví a comunicar la situación a PayPal y sigo sin respuesta, así que no sé muy bien qué tengo que hacer ahora. La cuenta está ahí, sin usar, en espera de que alguien de PayPal me responda algún día.

Mi pregunta es, ¿cómo es posible que PayPal cree una cuenta con un correo electrónico (que es el usuario con el que se entra a la cuenta) sin verificar?
Increíble, ¿verdad?...pero cierto. Y lo más grave es que lo he notificado tres veces por dos medios distintos y han pasado del tema por completo.

Cosas inexplicables en los tiempos que estamos, pero así estamos.

¿A alguien más le ha pasado?

Saludos

Francisco Hernandez Santos dijo...

A mi me paso hace 4 años lo mismo pero con Tuenti ( si xD ya no existe) pero en aquella epoca era la red social favorita.
Yo tenia una cuenta de hotmail y queria hacerme una en tuenti con ese hotmail pero mi sorpresa cuando me decia que ya existia una cuebta con ese correo😥😥 pues yo que llevaba con la cuenta de hotmail mas de un año no mme iba a poder hacer tuenti restableci la contraseña y mi sorpresa al enviarmela a mi correo logre entrar y me apodere de todo el tuenti de otra persona este fallo por lo que veo sigue en otras plataformas y segun he leido creo que se puede explotar de alguna manera seguire investigando

diegoku dijo...

Pues a mi me ha pasado hace unos meses con Netflix, un día vi un mail con asunto "¡Gracias por suscribirte a Netflix!" y yo me dije, que raro si yo ya tengo Netflix, cuando lo abrí vi que alguien se había registrado con una de mis cuentas de email y había pagado por su suscripción con un paypal que tenia otro email asociado, no me puse con rollos, contacté directamente con el usuario y le avisé del error y cambió el mail. En este caso el problema pareció ser (algo ya reportado por mucha gente) por puntos (.) en la dirección de Gmail, no porqué sé si usu.ario@gmail.com llega a usuario@gmail.com, la gente de Google permite crear un usuario con el dichoso punto (ver: https://support.google.com/mail/answer/10313?hl=es)

Como siempre, gracias Chema por compartir!

Puchi dijo...

Hola, a pesar de que tienes razón con el comportamiento de recuperación de contraseña no estoy de acuerdo del todo.

Pienso que la verificación por numero de teléfono es muy buena pero tiene costes, por lo que no es siempre requerida.

Si el usuario no ha comprobado la dirección de correo electrónico al momento de registro/login es culpa del usuario que sus datos estén expuestos. Técnicamente ha usurpado un email, si el dueño (si existiera) quiere crearse una cuenta, no podrá, por lo que recuperara la contraseña para posteriormente borrar la cuenta y crear otra.

A día de hoy, puedes tener una cuenta en Facebook con un email inexistente o no verificado, y no pasa nada.

Y si algún día, el dueño (o futuro dueño del email inexistente) quiere registrarse en Facebook se topara con esto, y podrá recuperar la contraseña para luego leer todos los mensajes privados si lo quisiera.

NO ES NADA NUEVO. Lo mismo ocurría con las alertas por SMS de Tuenti, al perder el numero de móvil por algún y luego ese numero lo obtuviera otra persona, esta recibía las notificaciones de Mensajes privados, Comentarios, Fotos... Y no solo los recibía, si no que también podía responder ¡Y sin necesidad de contraseña ni login!

aarco dijo...

Alberto P., me pasó exactamente lo mismo con Paypal hace ya unos años. Tb abrí incidencia, pero no pudieron hacer nada. El problema fue el comentado con una dirección de gmail sin punto (la mía tiene punto, del tipo nombre.apellido@gmail.com)

luz moreno dijo...

jajaja tan facil que es burlar la seguridad de uber y pedir viajes gratis sin pagar un peso :V

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares