El caso que os voy a contar ahora le pasó a uno de los lectores de El lado del mal y me lo pasó. Tiene que ver con las medidas de seguridad de Uber y la verdad es que parece que sea mentira que a día de hoy haya fallos de seguridad tan garrafales en la gestión de identidades en una empresa como esta. Tras leer la historia, espero que te animes a confirmar correctamente tus datos o podrás tener un disgusto no deseado.
 |
| Figura 1: Uber Fail. Una dirección de e-mail sin verificar expone toda tu privacidad |
La historia comienza con la recepción por parte de nuestro lector de mensajes de correo procedentes de Uber con información de que se ha dado de alta en el servicio y de un viaje que nunca había realizado.
 |
| Figura 2: Mensaje de bienvenida al servicio Uber |
El usuario del viaje se había dado de alta como Rider, o lo que es lo mismo, como pasajero, y parece que lo estaba usando por México, a pesar de que el dueño del correo electrónico es de España, pero los mensajes le llegaban a nuestro amigo en lugar de al usuario de verdad.
 |
| Figura 3: e-mail desde Uber con información del viaje |
Con esta preocupación contacto con Uber y recibió esta respuesta en la que venían a decirle que el correo electrónico suyo no estaba en ningún sitio asociado a ninguna cuenta de su plataforma.
 |
| Figura 4: Mensaje de soporte de Uber diciéndole que no había cuenta con su dirección de e-mail |
Por supuesto, el protagonista de esta historia no se había dado de alta en ningún momento, pero el correo que había recibido era legítimo de Uber, lo que significaba que alguna cuenta de usuario había en la plataforma con su dirección de correo electrónico. Tras ver que soporte no le daba respuesta inicialmente, decidió probarlo él mismo y ver si había cuenta o no con su correo. Al llegar al proceso de login en Uber, hace falta tener no solo el correo electrónico, sino también la contraseña, así que no se puede iniciar sesión pese a que la dirección parece ser de algún usuario de la plataforma.
 |
| Figura 5: Proceso de login como rider en Uber |
Esto no es óbice para conseguir averiguar qué ha sucedido, ya que como podéis ver el sistema de recuperación de contraseñas permite enviar un mensaje a la cuenta de correo electrónico asociada con un enlace para cambiar la contraseña y listo.
 |
| Figura 6: Recuperar la contraseña de la cuenta con introducir el e-mail |
Así que una vez dentro, se puede acceder a la información de la cuenta para darse cuenta de que su correo no solo se ha utilizado para crear una cuenta, sino que además Uber saber que no está verificado, que tiene un número de teléfono que sí que está verificado, que tiene datos personales y financieros del usuario y que aún así, Uber ha enviado el enlace para recuperar la contraseña al correo electrónico.
 |
| Figura 7: Datos de el usuario en el que se ve que el e-mail está sin verificar |
Repito todo por si alguno no se ha quedado con la situación.
1) Uber ha permitido crearse un usuario asociado a un e-mail sin verificar.
2) Uber manda correos de la actividad a un e-mail sin verificar.
3) Uber ha verificado el número de teléfono del usuario.
4) Uber permite que la recuperación de cuenta sea por e-mail (sin verificar) teniendo verificado un número de teléfono.
Lógicamente, esto es un fallo de seguridad en el proceso de gestión de las cuentas de usuario bastante grande y que, como vemos, expone a los clientes y sus datos personales. También, con implicaciones fiscales, ya que se pueden incluso solicitar las facturas con los datos que se desee usando Uber Facturas.
 |
| Figura 8: Solicitud de facturas de los viajes |
El usuario que se saca la cuenta puede pensar que el correo electrónico ha caído en el spam, que tarda en llegar el mensaje o cualquier otra cosa. Seguramente está confiado de que todo está bien, al fin y al cabo verificó su número de teléfono y pudo hacer uso del servicio, ya que añadió correctamente la tarjeta de crédito a la plataforma y pagó con ella. Pero no es así. Y además este sistema puede meter en problemas al autentico dueño del correo electrónico que puede verse relacionado con esa persona sin saber quién es.
 |
| Figura 9: La cuenta va creada solo con un e-mail que no es necesario verificar |
No sé si quiera si una forma de gestión de acceso a las cuentas de usuario y los servicios de pago así, pasaría una auditoría PCI completa para las empresas que gestionan medios de pago, pero lo más gracioso es que nuestro protagonista no consiguió que le quitarán el correo electrónico de la cuenta con facilidad, y el servicio de soporte lo explicaba que esto era así por motivos de seguridad.
 |
| Figura 10: Respuesta de soporte de Uber para no cambiar la cuenta de e-mail |
Este fallo garrafal de permitir el uso de una cuenta sin verificar el correo electrónico ya lo vimos en el pasado con Instagram, pero en este caso es más sangrante porque Uber tiene verificado el número de teléfono y podría haber forzado la recuperación de la contraseña solo por número de teléfono. Pero no fue así.
Saludos Malignos!
