En gruppe portugisiske penetrationstestere fandt i alt 15 alvorlige fejl i Uber-appen. Resultat? De modtog mere end 16 tusind euro i erstatning.
Den 22. marts lancerede Uber et offentligt fejlprogram – kendt som en bug bounty – der inviterer brugere til at opdage fejl på platformen til gengæld for et gebyr, der varierer afhængigt af sværhedsgraden af den fundne fejl. Et par dage senere begyndte Fábio Pires, Filipe Reis og Vítor Oliveira at lave en plan for at invadere applikationen og opdage sårbarheder i systemet.De tre unge, mellem 25 og 27 år, arbejder i en portugisisk virksomhed som penetrationstestere (eller pentestere), som grundlæggende er sikkerhedsprofessionelle med ansvar for at finde sårbarheder i forskellige systemer, netværk eller programmer. "Dette projekt er ikke meget anderledes end det, vi laver til daglig", understregede Vítor Oliveira til Razão Automóvel.
SE OGSÅ: Uber vandt et slag, men krigen fortsætter.
De tre unge portugisere ringede til en bil for at prøve Ubers mobilapplikation. Gennem den bærbare computer – og på trods af førerens mistænksomme udseende, fandt gruppen hurtigt den første fejl: ved at opsnappe kommunikationen mellem applikationen og virksomhedens server fandt trioen en måde at få adgang til anmodninger fra andre platformsbrugere og dermed få personlige oplysninger data såsom e-mailadresse og foto.
Efter at have fundet den første sårbarhed i Uber-applikationen, tog det ikke lang tid, før de kom til chaufførens data, de ruter, han tog, og værdien af turene. Ungdomsgruppen brugte deres fritid de næste to uger på at opdage andre fejl i ansøgningen. Blandt hovedsårbarhederne er opdagelsen af platformens brugeres rejsehistorie og mere end tusinde rabatkuponer – inklusive en gyldig kode med 100 dollars, som Uber ikke selv kendte – som kunne bruges senere. Alle sårbarheder er beskrevet i detaljer her.
I alt er der anmeldt 15 sårbarheder (dog allerede rettet), men på grund af at nogle allerede er indberettet, vil der kun blive betalt 8 sårbarheder – fire er allerede betalt. Til sidst modtog de tre unge 18.000 dollars, svarende til 16.300 euro.