Un grupo de probadores de penetración portugueses atopou un total de 15 fallos graves na aplicación Uber. ¿Resultado? Recibiron máis de 16 mil euros de indemnización.
O 22 de marzo, Uber lanzou un programa público de erros, coñecido como recompensa por erros, que invita aos usuarios a descubrir erros na plataforma, a cambio dunha tarifa que varía dependendo da gravidade do erro atopado. Uns días despois, Fábio Pires, Filipe Reis e Vítor Oliveira comezaron a elaborar un plan para invadir a aplicación e descubrir vulnerabilidades do sistema.Os tres mozos, de entre 25 e 27 anos, traballan nunha empresa portuguesa como probadores de penetración (ou pentesters), que son fundamentalmente profesionais da seguridade encargados de atopar vulnerabilidades en diversos sistemas, redes ou programas. “Este proxecto non é moi diferente do que facemos a diario”, subliñou Vítor Oliveira a Razão Automóvel.
VER TAMÉN: Uber gañou unha batalla, pero a guerra continúa.
Os tres mozos portugueses chamaron a un coche para poñer a proba a aplicación móbil de Uber. A través do portátil, e a pesar do aspecto sospeitoso do condutor, o grupo atopou rapidamente o primeiro fallo: ao interceptar a comunicación entre a aplicación e o servidor da empresa, o trío atopou un xeito de acceder ás solicitudes feitas por outros usuarios da plataforma e así obter información persoal. datos como enderezo de correo electrónico e fotografía.
Despois de atopar a primeira vulnerabilidade na aplicación Uber, non tardaron en chegar aos datos do condutor, ás rutas que fixo e ao valor das viaxes. O grupo xuvenil dedicou o seu tempo libre durante as próximas dúas semanas a descubrir outros fallos na aplicación. Entre as principais vulnerabilidades atópanse o descubrimento do historial de viaxes dos usuarios da plataforma e máis de mil cupóns de desconto -entre eles un código válido con 100 dólares, que a propia Uber descoñecía- que poderían ser utilizados posteriormente. Todas as vulnerabilidades descríbense en detalle aquí.
En total, reportáronse un total de 15 vulnerabilidades (aínda que xa arranxadas), pero debido a que algunhas xa foron denunciadas, só se pagarán 8 vulnerabilidades, catro xa foron pagadas. Ao final, os tres mozos recibiron 18.000 dólares, o equivalente a 16.300 euros.