Eine Gruppe portugiesischer Penetrationstester hat insgesamt 15 gravierende Mängel in der Uber-App gefunden. Ergebnis? Sie erhielten mehr als 16 Tausend Euro Entschädigung.
Am 22. März startete Uber ein öffentliches Fehlerprogramm – bekannt als Bug Bounty –, das Benutzer einlädt, Fehler auf der Plattform zu entdecken, gegen eine Gebühr, die je nach Schwere des gefundenen Fehlers variiert. Einige Tage später begannen Fábio Pires, Filipe Reis und Vítor Oliveira, einen Plan auszuhecken, um in die Anwendung einzudringen und Schwachstellen im System zu entdecken.Die drei jungen Leute im Alter zwischen 25 und 27 Jahren arbeiten in einem portugiesischen Unternehmen als Penetration Tester (oder Pentester), die im Wesentlichen Sicherheitsprofis sind, die für das Auffinden von Schwachstellen in verschiedenen Systemen, Netzwerken oder Programmen verantwortlich sind. „Dieses Projekt unterscheidet sich nicht wesentlich von dem, was wir täglich tun“, betont Vítor Oliveira gegenüber Razão Automóvel.
SIEHE AUCH: Uber hat eine Schlacht gewonnen, aber der Krieg geht weiter.
Die drei jungen Portugiesen riefen ein Auto an, um die mobile Uber-App auf die Probe zu stellen. Über den Laptop – und trotz des misstrauischen Blicks des Fahrers fand die Gruppe schnell den ersten Fehler: Durch das Abfangen der Kommunikation zwischen der Anwendung und dem Firmenserver fand das Trio eine Möglichkeit, auf Anfragen anderer Plattformnutzer zuzugreifen und so an personenbezogene Daten zu gelangen Daten wie E-Mail-Adresse und Foto.
Nachdem sie die erste Schwachstelle in der Uber-Anwendung gefunden hatten, dauerte es nicht lange, bis sie an die Daten des Fahrers, die zurückgelegten Strecken und den Wert der Fahrten gelangten. Die Jugendgruppe widmete in den nächsten zwei Wochen ihre Freizeit der Suche nach weiteren Mängeln in der Bewerbung. Zu den Hauptlücken zählen die Aufdeckung der Reisehistorie von Nutzern der Plattform und mehr als tausend Rabattgutscheine – darunter ein gültiger Code mit 100 Dollar, den Uber selbst nicht kannte – der später genutzt werden könnte. Alle Schwachstellen werden hier detailliert beschrieben.
Insgesamt wurden insgesamt 15 Schwachstellen gemeldet (allerdings bereits behoben), aber da einige bereits gemeldet wurden, werden nur 8 Schwachstellen bezahlt – vier sind bereits bezahlt. Am Ende erhielten die drei Jugendlichen 18.000 US-Dollar, umgerechnet 16.300 Euro.