პორტუგალიელი შეღწევადობის ტესტერების ჯგუფმა Uber-ის აპლიკაციაში სულ 15 სერიოზული ხარვეზი აღმოაჩინა. შედეგი? მათ კომპენსაციის სახით 16 ათას ევროზე მეტი მიიღეს.
22 მარტს Uber-მა წამოიწყო შეცდომის საჯარო პროგრამა, რომელიც ცნობილია როგორც bug bounty, რომელიც მომხმარებლებს სთავაზობს, აღმოაჩინონ შეცდომები პლატფორმაში, სანაცვლოდ, საფასურის სანაცვლოდ, რომელიც განსხვავდება აღმოჩენილი შეცდომის სიმძიმის მიხედვით. რამდენიმე დღის შემდეგ, ფაბიო პირესმა, ფილიპე რეისმა და ვიტორ ოლივეირამ დაიწყეს გეგმის შედგენა აპლიკაციაში შეჭრისა და სისტემის დაუცველობის აღმოსაჩენად.სამი ახალგაზრდა, 25-დან 27 წლამდე, მუშაობს პორტუგალიურ კომპანიაში, როგორც შეღწევადობის ტესტერი (ან პენტესტერები), რომლებიც ფუნდამენტურად არიან უსაფრთხოების პროფესიონალები, რომლებიც პასუხისმგებელნი არიან სხვადასხვა სისტემებში, ქსელებში თუ პროგრამებში დაუცველობის პოვნაზე. ”ეს პროექტი დიდად არ განსხვავდება იმისგან, რასაც ჩვენ ყოველდღიურად ვაკეთებთ”, - ხაზგასმით აღნიშნა ვიტორ ოლივეირამ Razão Automóvel-თან.
აგრეთვე იხილე: Uber-მა მოიგო ბრძოლა, მაგრამ ომი გრძელდება.
სამმა ახალგაზრდა პორტუგალიელმა გამოიძახა მანქანა Uber-ის მობილური აპლიკაციის შესამოწმებლად. ლეპტოპის მეშვეობით - და მიუხედავად მძღოლის საეჭვო გამოხედვისა, ჯგუფმა სწრაფად აღმოაჩინა პირველი ხარვეზი: აპლიკაციასა და კომპანიის სერვერს შორის კომუნიკაციის ჩარევით, ტრიომ იპოვა გზა წვდომა სხვა პლატფორმის მომხმარებლების მოთხოვნებზე და ამგვარად მიიღო პირადი მონაცემები, როგორიცაა ელექტრონული ფოსტის მისამართი და ფოტო.
Uber-ის აპლიკაციაში პირველი დაუცველობის აღმოჩენის შემდეგ, მათ დიდი დრო არ დასჭირდათ მძღოლის მონაცემების, მის მიერ გავლილი მარშრუტებისა და მგზავრობის ღირებულების მისაღებად. ახალგაზრდულმა ჯგუფმა თავისი თავისუფალი დრო მომდევნო ორი კვირის განმავლობაში დაუთმო განაცხადის სხვა ხარვეზების აღმოჩენას. მთავარ სისუსტეებს შორისაა პლატფორმის მომხმარებლების მოგზაურობის ისტორიის აღმოჩენა და ფასდაკლების ათასზე მეტი კუპონი - მათ შორის მოქმედი კოდი 100 დოლარით, რომელიც თავად Uber-მა არ იცოდა - რომელიც მოგვიანებით გამოიყენებოდა. ყველა დაუცველობა დეტალურად არის აღწერილი აქ.
სულ დაფიქსირდა 15 დაუცველობა (თუმცა უკვე გამოსწორდა), მაგრამ იმის გამო, რომ ზოგიერთი უკვე დაფიქსირდა, მხოლოდ 8 დაუცველობის გადახდა მოხდება - ოთხი უკვე გადახდილია. საბოლოოდ, სამმა ახალგაზრდამ მიიღო 18 000 აშშ დოლარი, 16 300 ევროს ექვივალენტი.