Un groupe de testeurs d'intrusion portugais a trouvé un total de 15 défauts graves dans l'application Uber. Résultat? Ils ont reçu plus de 16 mille euros de dédommagement.
Le 22 mars, Uber a lancé un programme de bug public – connu sous le nom de bug bounty – qui invite les utilisateurs à découvrir des bugs sur la plate-forme, en échange d'une redevance qui varie en fonction de la gravité du bug trouvé. Quelques jours plus tard, Fábio Pires, Filipe Reis et Vítor Oliveira ont commencé à concocter un plan pour envahir l'application et découvrir des vulnérabilités dans le système.Les trois jeunes, âgés de 25 à 27 ans, travaillent dans une entreprise portugaise en tant que testeurs d'intrusion (ou pentesters), qui sont fondamentalement des professionnels de la sécurité chargés de trouver des vulnérabilités dans divers systèmes, réseaux ou programmes. « Ce projet n'est pas très différent de ce que nous faisons quotidiennement », a souligné Vítor Oliveira à Razão Automóvel.
VOIR AUSSI : Uber a gagné une bataille, mais la guerre continue.
Les trois jeunes Portugais ont appelé une voiture pour tester l'application mobile Uber. Grâce à l'ordinateur portable - et malgré le regard méfiant du conducteur, le groupe a rapidement trouvé la première faille : en interceptant la communication entre l'application et le serveur de l'entreprise, le trio a trouvé un moyen d'accéder aux requêtes faites par d'autres utilisateurs de la plateforme et ainsi d'obtenir des informations personnelles. des données telles que l'adresse e-mail et la photographie.
Après avoir trouvé la première vulnérabilité dans l'application Uber, il ne leur a pas fallu longtemps pour accéder aux données du conducteur, aux itinéraires qu'il a empruntés et à la valeur des trajets. Le groupe de jeunes a consacré son temps libre pendant les deux semaines suivantes à découvrir d'autres défauts dans l'application. Parmi les principales vulnérabilités figurent la découverte de l'historique de voyage des utilisateurs de la plateforme et plus d'un millier de coupons de réduction - dont un code valide à 100 dollars, qu'Uber lui-même ne connaissait pas - qui pourraient être utilisés plus tard. Toutes les vulnérabilités sont décrites en détail ici.
Au total, un total de 15 vulnérabilités ont été signalées (bien que déjà corrigées), mais du fait que certaines ont déjà été signalées, seules 8 vulnérabilités seront payées – quatre ont déjà été payées. Au final, les trois jeunes ont reçu 18 000 $, soit l'équivalent de 16 300 €.