En gruppe portugisiske penetrasjonstestere fant totalt 15 alvorlige feil i Uber-appen. Resultat? De fikk mer enn 16 tusen euro i erstatning.
22. mars lanserte Uber et offentlig feilprogram – kjent som en bug bounty – som inviterer brukere til å oppdage feil på plattformen, i bytte mot en avgift som varierer avhengig av alvorlighetsgraden av feilen som ble funnet. Noen dager senere begynte Fábio Pires, Filipe Reis og Vítor Oliveira å lage en plan for å invadere applikasjonen og oppdage sårbarheter i systemet.De tre ungdommene, mellom 25 og 27 år, jobber i et portugisisk selskap som penetrasjonstestere (eller penetestere), som er grunnleggende sikkerhetseksperter som er ansvarlige for å finne sårbarheter i ulike systemer, nettverk eller programmer. "Dette prosjektet er ikke mye forskjellig fra det vi gjør til daglig", understreket Vítor Oliveira til Razão Automóvel.
SE OGSÅ: Uber vant et slag, men krigen fortsetter.
De tre unge portugiserne ringte en bil for å sette Uber-mobilapplikasjonen på prøve. Gjennom den bærbare datamaskinen – og til tross for det mistenksomme utseendet til sjåføren, fant gruppen raskt den første feilen: ved å avskjære kommunikasjonen mellom applikasjonen og selskapets server fant trioen en måte å få tilgang til forespørsler fra andre plattformbrukere og dermed få personlige data som e-postadresse og bilde.
Etter å ha funnet den første sårbarheten i Uber-applikasjonen, tok det ikke lang tid før de kom til sjåførens data, rutene han tok og verdien av turene. Ungdomsgruppen viet fritiden de neste to ukene til å oppdage andre feil ved søknaden. Blant hovedsårbarhetene er oppdagelsen av reisehistorien til brukere av plattformen og mer enn tusen rabattkuponger – inkludert en gyldig kode med 100 dollar, som Uber selv ikke kjente til – som kan brukes senere. Alle sårbarheter er beskrevet i detalj her.
Totalt er det rapportert inn 15 sårbarheter (selv om det allerede er rettet), men på grunn av at noen allerede er rapportert, vil kun 8 sårbarheter bli betalt – fire er allerede betalt for. Til slutt mottok de tre ungdommene 18 000 dollar, tilsvarende 16 300 euro.