Un grupo de probadores de penetración portugueses encontró un total de 15 fallas graves en la aplicación Uber. ¿Resultado? Recibieron más de 16 mil euros en concepto de indemnización.
El 22 de marzo, Uber lanzó un programa público de errores, conocido como recompensa por errores, que invita a los usuarios a descubrir errores en la plataforma, a cambio de una tarifa que varía según la gravedad del error encontrado. Unos días después, Fábio Pires, Filipe Reis y Vítor Oliveira comenzaron a tramar un plan para invadir la aplicación y descubrir vulnerabilidades en el sistema.Los tres jóvenes, de entre 25 y 27 años, trabajan en una empresa portuguesa como penetration testers (o pentesters), que son fundamentalmente profesionales de la seguridad encargados de encontrar vulnerabilidades en diversos sistemas, redes o programas. “Este proyecto no es muy diferente de lo que hacemos a diario”, subrayó Vítor Oliveira a Razão Automóvel.
VEA TAMBIÉN: Uber ganó una batalla, pero la guerra continúa.
Los tres jóvenes portugueses llamaron a un coche para poner a prueba la aplicación móvil de Uber. A través de la computadora portátil, y a pesar de la mirada sospechosa del conductor, el grupo rápidamente encontró la primera falla: al interceptar la comunicación entre la aplicación y el servidor de la empresa, el trío encontró una manera de acceder a las solicitudes realizadas por otros usuarios de la plataforma y así obtener información personal. datos como dirección de correo electrónico y fotografía.
Después de encontrar la primera vulnerabilidad en la aplicación Uber, no tardaron en llegar a los datos del conductor, las rutas que tomó y el valor de los viajes. El grupo de jóvenes dedicó su tiempo libre durante las próximas dos semanas a descubrir otras fallas en la aplicación. Entre las principales vulnerabilidades se encuentran el descubrimiento del historial de viajes de los usuarios de la plataforma y más de mil cupones de descuento -incluido un código válido con 100 dólares, que la propia Uber no conocía- que podrían utilizarse posteriormente. Todas las vulnerabilidades se describen en detalle aquí.
En total, se han reportado un total de 15 vulnerabilidades (aunque ya corregidas), pero debido al hecho de que algunas ya han sido reportadas, solo se pagarán 8 vulnerabilidades, cuatro ya fueron pagadas. Al final, los tres jóvenes recibieron 18.000 dólares, el equivalente a 16.300 euros.