Un grup de testeri portughezi de penetrare a găsit un total de 15 defecte grave în aplicația Uber. Rezultat? Au primit despăgubiri de peste 16 mii de euro.
Pe 22 martie, Uber a lansat un program public de bug – cunoscut sub numele de bug bounty – care invită utilizatorii să descopere erori în platformă, în schimbul unei taxe care variază în funcție de gravitatea bug-ului găsit. Câteva zile mai târziu, Fábio Pires, Filipe Reis și Vítor Oliveira au început să creeze un plan pentru a invada aplicația și a descoperi vulnerabilități în sistem.Cei trei tineri, cu vârste cuprinse între 25 și 27 de ani, lucrează într-o companie portugheză ca testeri de penetrare (sau pentesteri), care sunt în principiu profesioniști în securitate responsabili de găsirea vulnerabilităților în diverse sisteme, rețele sau programe. „Acest proiect nu este foarte diferit de ceea ce facem zilnic”, a subliniat Vítor Oliveira pentru Razão Automóvel.
VEZI ȘI: Uber a câștigat o bătălie, dar războiul continuă.
Cei trei tineri portughezi au sunat la o mașină pentru a pune la încercare aplicația mobilă Uber. Prin intermediul laptopului – și în ciuda aspectului suspect al șoferului, grupul a găsit rapid primul defect: prin interceptarea comunicării dintre aplicație și serverul companiei, trio-ul a găsit o modalitate de a accesa solicitările făcute de alți utilizatori ai platformei și astfel să obțină personal date precum adresa de e-mail și fotografia.
După ce au găsit prima vulnerabilitate în aplicația Uber, nu a durat mult până au ajuns la datele șoferului, la rutele pe care le-a parcurs și la valoarea călătoriilor. Grupul de tineri și-a dedicat timpul liber în următoarele două săptămâni pentru a descoperi alte defecte ale aplicației. Printre principalele vulnerabilități se numără descoperirea istoricului de călătorie al utilizatorilor platformei și a peste o mie de cupoane de reducere – inclusiv un cod valabil cu 100 de dolari, pe care Uber însuși nu-l cunoștea – care ar putea fi folosite ulterior. Toate vulnerabilitățile sunt descrise în detaliu aici.
În total, au fost raportate un total de 15 vulnerabilități (deși deja remediate), dar din cauza faptului că unele au fost deja raportate, vor fi plătite doar 8 vulnerabilități – patru au fost deja plătite. La final, cei trei tineri au primit 18.000 de dolari, echivalentul a 16.300 de euro.