Grupa portugalskih testera penetracije pronašla je ukupno 15 ozbiljnih nedostataka u aplikaciji Uber. Rezultat? Dobili su više od 16 hiljada eura odštete.
Uber je 22. marta pokrenuo javni program za greške – poznat kao nagrada za greške – koji poziva korisnike da otkriju greške na platformi, u zamjenu za naknadu koja varira ovisno o ozbiljnosti pronađene greške. Nekoliko dana kasnije, Fábio Pires, Filipe Reis i Vítor Oliveira počeli su smišljati plan za invaziju na aplikaciju i otkrivanje ranjivosti u sistemu.Troje mladih ljudi, starosti između 25 i 27 godina, rade u portugalskoj kompaniji kao testeri penetracije (ili pentesteri), koji su u osnovi profesionalci za sigurnost odgovorni za pronalaženje ranjivosti u različitim sistemima, mrežama ili programima. „Ovaj projekat se ne razlikuje mnogo od onoga što radimo na dnevnoj bazi“, naglasio je Vítor Oliveira za Razão Automóvel.
VIDI TAKOĐE: Uber je dobio bitku, ali rat se nastavlja.
Troje mladih Portugalaca pozvalo je automobil kako bi testirali mobilnu aplikaciju Uber. Preko laptopa – i uprkos sumnjičavom izgledu vozača, grupa je brzo pronašla prvu manu: presretanjem komunikacije između aplikacije i servera kompanije, trojac je pronašao način da pristupi zahtevima drugih korisnika platforme i tako dobije lične podatke kao što su adresa e-pošte i fotografija.
Nakon što su pronašli prvu ranjivost u aplikaciji Uber, nije im trebalo dugo da dođu do podataka o vozaču, rutama koje je išao i vrijednosti putovanja. Grupa mladih posvetila je svoje slobodno vrijeme sljedeće dvije sedmice otkrivanju drugih nedostataka u aplikaciji. Među glavnim ranjivostima su otkrivanje istorije putovanja korisnika platforme i više od hiljadu kupona za popust – uključujući važeći kod sa 100 dolara, za koji ni sam Uber nije znao – koji bi se kasnije mogli iskoristiti. Ovdje su detaljno opisane sve ranjivosti.
Ukupno je prijavljeno ukupno 15 ranjivosti (iako su već popravljene), ali zbog činjenice da su neke već prijavljene, samo 8 ranjivosti će biti plaćeno – četiri su već plaćene. Na kraju, troje mladih ljudi dobilo je 18.000 dolara, što je ekvivalentno 16.300 evra.