Een groep Portugese penetratietesters vond in totaal 15 ernstige fouten in de Uber-app. Resultaat? Ze kregen ruim 16 duizend euro schadevergoeding.
Op 22 maart lanceerde Uber een openbaar bugprogramma – een zogenaamde bug bounty – dat gebruikers uitnodigt om bugs in het platform te ontdekken, in ruil voor een vergoeding die varieert afhankelijk van de ernst van de gevonden bug. Een paar dagen later begonnen Fábio Pires, Filipe Reis en Vítor Oliveira een plan te bedenken om de applicatie binnen te vallen en kwetsbaarheden in het systeem te ontdekken.De drie jongeren, tussen de 25 en 27 jaar oud, werken in een Portugees bedrijf als penetratietesters (of pentesters), die in wezen beveiligingsprofessionals zijn die verantwoordelijk zijn voor het vinden van kwetsbaarheden in verschillende systemen, netwerken of programma's. "Dit project verschilt niet veel van wat we dagelijks doen", benadrukte Vítor Oliveira tegen Razão Automóvel.
ZIE OOK: Uber heeft een slag gewonnen, maar de oorlog gaat door.
De drie jonge Portugezen belden een auto om de mobiele applicatie van Uber op de proef te stellen. Via de laptop – en ondanks de verdachte blik van de bestuurder, vond de groep snel de eerste fout: door de communicatie tussen de applicatie en de bedrijfsserver te onderscheppen, vond het trio een manier om toegang te krijgen tot verzoeken van andere platformgebruikers en zo persoonlijke gegevens zoals e-mailadres en foto.
Nadat ze de eerste kwetsbaarheid in de Uber-applicatie hadden gevonden, duurde het niet lang voordat ze bij de chauffeursgegevens, de routes die hij nam en de waarde van de ritten kwamen. De jongerengroep besteedde de komende twee weken hun vrije tijd aan het ontdekken van andere gebreken in de applicatie. Tot de belangrijkste kwetsbaarheden behoren de ontdekking van de reisgeschiedenis van gebruikers van het platform en meer dan duizend kortingsbonnen - waaronder een geldige code met 100 dollar, die Uber zelf niet kende - die later konden worden gebruikt. Alle kwetsbaarheden worden hier uitgebreid beschreven.
In totaal zijn er in totaal 15 kwetsbaarheden gemeld (hoewel al verholpen), maar omdat er al enkele zijn gemeld, worden er slechts 8 kwetsbaarheden betaald - vier zijn al betaald. Uiteindelijk ontvingen de drie jongeren $ 18.000, het equivalent van € 16.300.