Grupa portugalskich testerów penetracyjnych znalazła łącznie 15 poważnych błędów w aplikacji Uber. Wynik? Otrzymali ponad 16 tysięcy euro odszkodowania.
22 marca Uber uruchomił publiczny program błędów – znany jako bug bounty – który zaprasza użytkowników do odkrywania błędów na platformie w zamian za opłatę, która różni się w zależności od wagi znalezionego błędu. Kilka dni później Fábio Pires, Filipe Reis i Vítor Oliveira zaczęli wymyślać plan inwazji na aplikację i wykrycia luk w systemie.Trzech młodych ludzi w wieku od 25 do 27 lat pracuje w portugalskiej firmie jako testerzy penetracji (lub pentesterowie), którzy są zasadniczo specjalistami ds. bezpieczeństwa odpowiedzialnymi za znajdowanie luk w różnych systemach, sieciach lub programach. „Ten projekt nie różni się zbytnio od tego, co robimy na co dzień”, podkreślił Vítor Oliveira w rozmowie z Razão Automóvel.
ZOBACZ TEŻ: Uber wygrał bitwę, ale wojna trwa.
Trzech młodych Portugalczyków zadzwoniło do samochodu, aby przetestować aplikację mobilną Ubera. Za pośrednictwem laptopa – i pomimo podejrzanego wyglądu sterownika, grupa szybko znalazła pierwszą wadę: przechwytując komunikację między aplikacją a serwerem firmy, trio znalazło sposób na dostęp do żądań innych użytkowników platformy i uzyskanie w ten sposób osobistych informacji. dane takie jak adres e-mail i zdjęcie.
Po znalezieniu pierwszej luki w aplikacji Uber szybko dotarli do danych kierowcy, przebytych tras i wartości przejazdów. Grupa młodzieżowa poświęciła swój wolny czas przez kolejne dwa tygodnie na odkrywanie kolejnych wad aplikacji. Wśród głównych luk jest odkrycie historii podróży użytkowników platformy oraz ponad tysiąc kuponów rabatowych – w tym ważny kod o wartości 100 dolarów, którego sam Uber nie znał – które można wykorzystać później. Wszystkie podatności zostały szczegółowo opisane tutaj.
W sumie zgłoszonych zostało 15 podatności (choć już naprawionych), ale ze względu na fakt, że niektóre zostały już zgłoszone, opłaconych zostanie tylko 8 podatności – cztery już zostały opłacone. Ostatecznie trójka młodych ludzi otrzymała 18 000 dolarów, co odpowiada 16 300 euro.