Ryhmä portugalilaisia penetraatiotestaajia löysi Uber-sovelluksesta yhteensä 15 vakavaa puutetta. Tulos? He saivat yli 16 tuhatta euroa korvauksia.
Uber käynnisti 22. maaliskuuta julkisen virheohjelman – bug bounty –, joka kutsuu käyttäjiä löytämään vikoja alustasta vastineeksi maksusta, joka vaihtelee löydetyn vian vakavuudesta riippuen. Muutamaa päivää myöhemmin Fábio Pires, Filipe Reis ja Vítor Oliveira alkoivat tehdä suunnitelmaa tunkeutua sovellukseen ja löytää järjestelmän haavoittuvuuksia.Nämä kolme 25–27-vuotiasta nuorta työskentelevät portugalilaisessa yrityksessä penetraatiotestaajina (tai pentestereinä), jotka ovat pohjimmiltaan tietoturva-ammattilaisia, jotka ovat vastuussa haavoittuvuuksien löytämisestä eri järjestelmistä, verkoista tai ohjelmista. "Tämä projekti ei juurikaan eroa siitä, mitä teemme päivittäin", painotti Vítor Oliveira Razão Automóvelille.
KATSO MYÖS: Uber voitti taistelun, mutta sota jatkuu.
Kolme nuorta portugalilaista soittivat auton testatakseen Uber-mobiilisovellusta. Kannettavan tietokoneen kautta – ja kuljettajan epäilyttävästä ilmeestä huolimatta ryhmä löysi nopeasti ensimmäisen virheen: kaappaamalla sovelluksen ja yrityksen palvelimen välisen viestinnän kolmikko löysi tavan päästä käsiksi muiden alustan käyttäjien tekemiin pyyntöihin ja siten saada henkilökohtaisia tiedot, kuten sähköpostiosoite ja valokuva.
Kun Uber-sovelluksen ensimmäinen haavoittuvuus oli löydetty, ei kestänyt kauan, kun he pääsivät kuljettajan tietoihin, hänen kulkemiinsa reitteihin ja matkojen arvoon. Nuorisoryhmä käytti vapaa-aikaansa seuraavat kaksi viikkoa sovelluksen muiden puutteiden löytämiseen. Tärkeimpiä haavoittuvuuksia ovat alustan käyttäjien matkahistorian löytäminen ja yli tuhat alennuskuponkia - mukaan lukien voimassa oleva 100 dollarin koodi, jota Uber itse ei tiennyt - joita voitaisiin käyttää myöhemmin. Kaikki haavoittuvuudet on kuvattu yksityiskohtaisesti täällä.
Kaikkiaan haavoittuvuuksia on raportoitu yhteensä 15 (tosin jo korjattu), mutta koska osa on jo raportoitu, vain 8 haavoittuvuutta maksetaan – neljästä on jo maksettu. Lopulta kolme nuorta saivat 18 000 dollaria, mikä vastaa 16 300 euroa.