Grupa portugalskih testera penetracije pronašla je ukupno 15 ozbiljnih nedostataka u aplikaciji Uber. Proizlaziti? Dobili su više od 16 tisuća eura odštete.
Uber je 22. ožujka pokrenuo javni program bugova – poznat kao bug bounty – koji poziva korisnike da otkriju bugove na platformi, u zamjenu za naknadu koja varira ovisno o ozbiljnosti pronađene greške. Nekoliko dana kasnije, Fábio Pires, Filipe Reis i Vítor Oliveira počeli su smišljati plan za invaziju na aplikaciju i otkrivanje ranjivosti u sustavu.Troje mladih ljudi, u dobi između 25 i 27 godina, rade u portugalskoj tvrtki kao testeri penetracije (ili pentesteri), koji su u osnovi sigurnosni profesionalci odgovorni za pronalaženje ranjivosti u različitim sustavima, mrežama ili programima. “Ovaj se projekt ne razlikuje puno od onoga što radimo na dnevnoj bazi”, naglasio je Vítor Oliveira za Razão Automóvel.
VIDI TAKOĐER: Uber je dobio bitku, ali rat se nastavlja.
Troje mladih Portugalaca pozvalo je automobil kako bi testirali mobilnu aplikaciju Uber. Putem prijenosnog računala – i unatoč sumnjičavom izgledu vozača, grupa je brzo pronašla prvi nedostatak: presretnuvši komunikaciju između aplikacije i poslužitelja tvrtke, trojac je pronašao način da pristupi zahtjevima drugih korisnika platforme i tako dobije osobne podatke kao što su e-mail adresa i fotografija.
Nakon što su pronašli prvu ranjivost u aplikaciji Uber, nije im trebalo dugo da dođu do podataka o vozaču, rutama kojima se kretao i vrijednosti putovanja. Grupa mladih posvetila je svoje slobodno vrijeme sljedeća dva tjedna otkrivanju drugih nedostataka u aplikaciji. Među glavnim ranjivostima su otkrivanje povijesti putovanja korisnika platforme i više od tisuću kupona za popust – uključujući valjani kod sa 100 dolara, za koji ni sam Uber nije znao – koji bi se kasnije mogli iskoristiti. Ovdje su detaljno opisane sve ranjivosti.
Ukupno je prijavljeno 15 ranjivosti (iako su već popravljene), ali zbog činjenice da su neke već prijavljene, bit će plaćeno samo 8 ranjivosti – četiri su već plaćene. Na kraju je troje mladih dobilo 18.000 dolara, što je protuvrijednost 16.300 eura.