Portugalijos skverbties testuotojų grupė iš viso aptiko 15 rimtų Uber programėlės trūkumų. Rezultatas? Jie gavo daugiau nei 16 tūkstančių eurų kompensaciją.
Kovo 22 d. „Uber“ pradėjo viešą klaidų programą, vadinamą „Bug Bounty“, kuri kviečia vartotojus atrasti platformos klaidas mainais už mokestį, kuris kinta priklausomai nuo aptiktos klaidos sunkumo. Po kelių dienų Fábio Pires, Filipe Reis ir Vítor Oliveira pradėjo kurti planą, kaip įsiveržti į programą ir atrasti sistemos pažeidžiamumą.Trys jaunuoliai, kurių amžius nuo 25 iki 27 metų, dirba Portugalijos įmonėje įsiskverbimo tikrintojais (arba pentestuotojais), kurie iš esmės yra saugumo profesionalai, atsakingi už įvairių sistemų, tinklų ar programų pažeidžiamumą. „Šis projektas mažai kuo skiriasi nuo to, ką darome kasdien“, – Razão Automóvel pabrėžė Vítor Oliveira.
TAIP PAT ŽR.: „Uber“ laimėjo mūšį, bet karas tęsiasi.
Trys jauni portugalai iškvietė automobilį, kad išbandytų „Uber“ mobiliąją aplikaciją. Per nešiojamąjį kompiuterį, nepaisant įtartinos vairuotojo žvilgsnio, grupė greitai rado pirmąjį trūkumą: perimdama ryšį tarp programos ir įmonės serverio, trijulė rado būdą pasiekti kitų platformos naudotojų užklausas ir taip gauti asmeninius. duomenis, tokius kaip el. pašto adresas ir nuotrauka.
Radę pirmąjį „Uber“ programos pažeidžiamumą, neilgai trukus jie pasiekė vairuotojo duomenis, maršrutus, kuriais jis važiavo, ir kelionių vertę. Sekančias dvi savaites jaunimo grupė skyrė savo laisvą laiką kitiems aplikacijos trūkumams atrasti. Tarp pagrindinių pažeidžiamumų galima paminėti platformos naudotojų kelionių istorijos atradimą ir daugiau nei tūkstantį nuolaidų kuponų – įskaitant galiojantį kodą su 100 dolerių, kurių pats Uber nežinojo – kuriuos vėliau būtų galima panaudoti. Visi pažeidžiamumai yra išsamiai aprašyti čia.
Iš viso pranešta apie 15 spragų (nors jau ištaisyta), tačiau dėl to, kad kai kurios jau buvo praneštos, bus mokama tik už 8 pažeidžiamumus – už keturias jau sumokėta. Galiausiai trys jaunuoliai gavo 18 000 USD, ty 16 300 eurų.