Skupina portugalských penetračních testerů našla v aplikaci Uber celkem 15 vážných nedostatků. Výsledek? Jako odškodné dostali více než 16 tisíc eur.
22. března Uber spustil program veřejných chyb – známý jako bug bounty – který vyzývá uživatele, aby objevili chyby na platformě, výměnou za poplatek, který se liší v závislosti na závažnosti nalezené chyby. O pár dní později začali Fábio Pires, Filipe Reis a Vítor Oliveira vymýšlet plán, jak napadnout aplikaci a objevit zranitelnosti systému.Tři mladí lidé ve věku od 25 do 27 let pracují v portugalské společnosti jako penetrační testeři (neboli pentesteri), což jsou v podstatě bezpečnostní profesionálové zodpovědní za vyhledávání zranitelností v různých systémech, sítích nebo programech. „Tento projekt se příliš neliší od toho, co děláme na denní bázi,“ zdůraznil Vítor Oliveira pro Razão Automóvel.
VIZ TAKÉ: Uber vyhrál bitvu, ale válka pokračuje.
Tři mladí Portugalci zavolali auto, aby otestovali mobilní aplikaci Uber. Prostřednictvím notebooku – a navzdory podezřívavému vzhledu řidiče skupina rychle našla první chybu: zachycením komunikace mezi aplikací a serverem společnosti našlo trio způsob, jak získat přístup k požadavkům jiných uživatelů platformy, a tak získat osobní údaje, jako je e-mailová adresa a fotografie.
Po nalezení první zranitelnosti v aplikaci Uber netrvalo dlouho a dostali se k datům řidiče, trasám, kterými jel, a hodnotě cest. Skupina mládeže věnovala následující dva týdny svůj volný čas objevování dalších nedostatků aplikace. Mezi hlavní zranitelnosti patří odhalení cestovní historie uživatelů platformy a více než tisíc slevových kupónů – včetně platného kódu se 100 dolary, který samotný Uber neznal – které by bylo možné později využít. Všechny zranitelnosti jsou podrobně popsány zde.
Celkem je nahlášeno (i když již opraveno) 15 zranitelností, ale vzhledem k tomu, že některé již byly nahlášeny, bude zaplaceno pouze 8 zranitelností – čtyři jsou již zaplaceny. Nakonec tito tři mladí lidé dostali 18 000 dolarů, což je ekvivalent 16 300 eur.