Vladimir Ivanov, un penetration tester ruso, ha reportado un fallo en el servicio de respaldo de seguridad anti ransomware de Code42 que podría haber permitido a los atacantes robar datos de los "me gusta" de Uber, Lockheed Martin y Adobe.

Ivanov, de SCADA en Positive Technologies, informó una vulnerabilidad de XML External Entity (XXE) ya reparada para Uber, quienes le pagaron $9,000 dólares estadounidenses, ya que Code42 no tiene un programa de recompensas de errores.

Ivanov dice que encontró la vulnerabilidad al tratar de acertar un fallo para el programa de recompensas de errores de Uber.

“La única opción para romper el servicio y obtener una recompensa por Code42 era encontrar una vulnerabilidad de día cero”, explicó Ivanov.

“La vulnerabilidad podría dar acceso a las copias de seguridad de todos los usuarios de una determinada empresa. Los especialistas de seguridad de Uber se entusiasmaron con esta vulnerabilidad, se pusieron en contacto con el vendedor y confirmaron que esta vulnerabilidad era de día cero”.

Los ataques a través de XEE son defectos comunes de las aplicaciones cuando la entrada XML contiene una referencia a una entidad externa que se procesa mediante un parser XML débilmente configurado, este abre una posible divulgación de datos confidenciales, denegación de servicio y la falsificación de solicitudes de servidor.

Ivanov reportó la vulnerabilidad de Uber en mayo a través del servicio de recompensa de fallos HackerOne, el cual se la pasó a Code42. El fallo más tarde fue solucionado el mismo mes, pero pidieron al investigador que no publicara la información hasta que todos los clientes aplicaran el parche.

Ivanov dice que Code42 no dio respuesta a su solicitud de la publicación esta semana, compromiso hecho con la compañía de respaldos.