Uber dice que el error que permite sobrepasar la identificación de dos factores (2fa) “no es particularmente grave”

Share this…

En términos de seguridad informática, la compañía Uber está teniendo un mal día. Tan solo dos meses después de que el servicio de automóvil compartido admitiera encubrir una violación que expuso información sensible sobre 57 millones de clientes y conductores, un investigador de seguridad informática descubrió un error que permitiría a los hackers eludir la autenticación de dos factores (2fa) y que no fue reparado  la compañía, que dijo que no era “un informe particularmente grave”.

uber hacked

El gerente de ingeniería de seguridad de Uber, Rob Fletcher, también calificó el error de “probable comportamiento esperado” en respuesta al investigador de seguridad informática Karan Saini, quien informó el error a HackerOne, administrador del programa de recompensas de vulnerabilidades de la compañía, solo para rechazarlo y marcarlo como “informativo”  de acuerdo con el informe.

“De ninguna manera es fácil eludir la autenticación de dos factores considerada ‘posible comportamiento esperado’, y esto es tan grave como puede serlo una vulnerabilidad”, dijo el colaborador de una empresa de seguridad informática. “Si no consideran que una falla en las protecciones de seguridad fundamentales es grave, debe preguntarse qué considerarían grave. La autenticación de dos factores es extremadamente segura si se implementa correctamente, lo que es notablemente fácil de hacer”.

Este error permite que un hacker inicie sesión en una cuenta usando una dirección de correo electrónico y una contraseña, y omite 2fa ingresando un código aleatorio cuando se le solicita. Explico el experto en seguridad informática del Instituto Internacional de Seguridad Cibernética.

A su vez Craig Young, investigador de seguridad informática del Equipo de Investigación de Vulnerabilidades y Exposiciones (VERT) calificó a 2fa como “un importante control de seguridad”, menciono que “la respuesta de Uber significa que están explorando diferentes señales que pueden usar para decidir cuándo es necesario para verificar un código de SMS y que los usuarios no deben esperar recibir el código 2FA en cada inicio de sesión. Sin conocer los detalles específicos de la técnica, es imposible validar si hay un error legítimo”.

También señaló que “esta no es la primera queja contra el equipo de seguridad de Uber tampoco, ya que otro investigador, Gregory Perry, publicó recientemente una publicación de blog titulada, ‘Cómo obtuve $ 0 de Uber Security Bug Bounty’, en la que tiene dureza critica al equipo de seguridad de Uber por ineptitudes percibidas, pero señaló que los detalles de esos informes son públicos, sin embargo, y es mi opinión que la respuesta de Uber fue más o menos apropiada dentro de los parámetros de su programa de recompensas”.

Se sabe también que el equipo de seguridad de Uber también fue criticado recientemente cuando Reuters publicó afirmaciones de que Uber había usado su programa de bonificación de vulnerabilidades  para pagar 100.000 dólares de silencio a un individuo que había amenazado con liberar los datos de los clientes de Uber.

Tras señalar que Uber todavía está sufriendo críticas por pagar 100.000 dólares en “dinero de silencio” para evitar que un hacker divulgue datos robados en la falla de seguridad informática que afectó a 57 millones, Young dijo: “Antes de que los investigadores o clientes pierdan la fe en el compromiso de Uber con la seguridad, simplemente señale que HackerOne Hacktivity de Uber indica que han pagado más de $ 50,000 en pagos de recompensas en solo los últimos 30 días y más de $1.3 millones en total.