Sekelompok penguji penetrasi Portugis menemukan total 15 kelemahan serius di aplikasi Uber. Hasil? Mereka menerima lebih dari 16 ribu euro sebagai kompensasi.
Pada 22 Maret, Uber meluncurkan program bug publik – yang dikenal sebagai bug bounty – yang mengundang pengguna untuk menemukan bug di platform, dengan imbalan biaya yang bervariasi tergantung pada tingkat keparahan bug yang ditemukan. Beberapa hari kemudian, Fábio Pires, Filipe Reis dan Vítor Oliveira mulai menyusun rencana untuk menyerang aplikasi dan menemukan kerentanan dalam sistem.Tiga orang muda, berusia antara 25 dan 27, bekerja di sebuah perusahaan Portugis sebagai penguji penetrasi (atau pentester), yang pada dasarnya adalah profesional keamanan yang bertanggung jawab untuk menemukan kerentanan di berbagai sistem, jaringan, atau program. “Proyek ini tidak jauh berbeda dengan apa yang kami lakukan setiap hari”, tegas Vítor Oliveira kepada Razão Automóvel.
LIHAT JUGA: Uber memenangkan pertempuran, tetapi perang terus berlanjut.
Tiga pemuda Portugis memanggil sebuah mobil untuk menguji aplikasi seluler Uber. Melalui laptop – dan terlepas dari tampang pengemudi yang mencurigakan, grup dengan cepat menemukan kelemahan pertama: dengan mencegat komunikasi antara aplikasi dan server perusahaan, ketiganya menemukan cara untuk mengakses permintaan yang dibuat oleh pengguna platform lain dan dengan demikian memperoleh informasi pribadi. data seperti alamat email dan foto.
Setelah menemukan kerentanan pertama di aplikasi Uber, tidak butuh waktu lama bagi mereka untuk mendapatkan data pengemudi, rute yang dia ambil, dan nilai perjalanan. Kelompok pemuda itu mencurahkan waktu luang mereka selama dua minggu ke depan untuk menemukan kekurangan lain dalam aplikasi. Di antara kerentanan utama adalah penemuan riwayat perjalanan pengguna platform dan lebih dari seribu kupon diskon - termasuk kode yang valid dengan 100 dolar, yang tidak diketahui Uber sendiri - yang dapat digunakan nanti. Semua kerentanan dijelaskan secara rinci di sini.
Secara total, total 15 kerentanan telah dilaporkan (walaupun sudah diperbaiki), tetapi karena beberapa telah dilaporkan, hanya 8 kerentanan yang akan dibayar – empat telah dibayar. Pada akhirnya, ketiga pemuda itu menerima $18.000, setara dengan €16.300.