Portugál penetrációs tesztelők egy csoportja összesen 15 súlyos hibát talált az Uber alkalmazásban. Eredmény? Több mint 16 ezer euró kártérítést kaptak.
Március 22-én az Uber elindított egy nyilvános hibaprogramot – a bug bounty néven –, amely felkéri a felhasználókat, hogy fedezzék fel a platformon található hibákat, cserébe a talált hiba súlyosságától függően változó díj ellenében. Néhány nappal később Fábio Pires, Filipe Reis és Vítor Oliveira tervet kezdett kidolgozni az alkalmazás megtámadására és a rendszer sebezhetőségeinek felfedezésére.A három 25 és 27 év közötti fiatal egy portugál cégben dolgozik penetrációtesztelőként (vagy pentesterként), akik alapvetően biztonsági szakemberek, akik a különféle rendszerek, hálózatok vagy programok sebezhetőségeinek felkutatásáért felelősek. „Ez a projekt nem sokban különbözik attól, amit napi szinten csinálunk” – hangsúlyozta Vítor Oliveira a Razão Automóvelnek.
LÁSD MÉG: Az Uber csatát nyert, de a háború folytatódik.
A három portugál fiatal autót hívott, hogy próbára tegye az Uber mobilalkalmazást. A laptopon keresztül – és a sofőr gyanakvó pillantása ellenére a csoport gyorsan megtalálta az első hibát: az alkalmazás és a cég szervere közötti kommunikáció lehallgatásával a trió megtalálta a módját, hogy hozzáférjen más platformfelhasználók kéréseihez, és így személyes adatokat szerezzen. adatok, például e-mail cím és fénykép.
Miután megtalálták az első sérülékenységet az Uber alkalmazásban, nem sok időbe telt, míg eljutottak a sofőr adataihoz, az általa megtett útvonalakhoz és az utazások értékéhez. Az ifjúsági csoport a következő két hétben a szabadidejét a pályázat egyéb hibáinak feltárására fordította. A fő sérülékenységek között szerepel a platform felhasználóinak utazási előzményeinek feltárása és több mint ezer kedvezménykupon - köztük egy érvényes kód 100 dollárral, amelyet maga az Uber sem tudott -, amelyek később felhasználhatók. Az összes sérülékenységet itt ismertetjük részletesen.
Összesen összesen 15 sérülékenységet jelentettek (bár már javítottak), de mivel néhányat már jeleztek, csak 8 sérülékenységet fizetnek ki – négyért már fizettek. A három fiatal végül 18 000 dollárt kapott, ami 16 300 eurónak felel meg.