Группа португальских тестеров на проникновение обнаружила в приложении Uber 15 серьезных недостатков. Результат? Они получили более 16 тысяч евро компенсации.
22 марта Uber запустил общедоступную программу ошибок, известную как bug bounty, которая предлагает пользователям обнаруживать ошибки в платформе за плату, которая зависит от серьезности обнаруженной ошибки. Несколько дней спустя Фабио Пирес, Филипе Рейс и Витор Оливейра начали придумывать план по вторжению в приложение и обнаружению уязвимостей в системе.Трое молодых людей в возрасте от 25 до 27 лет работают в португальской компании в качестве тестеров на проникновение (или пентестеров), которые по сути являются профессионалами в области безопасности, отвечающими за поиск уязвимостей в различных системах, сетях или программах. «Этот проект мало чем отличается от того, что мы делаем ежедневно», - подчеркнул Витор Оливейра в интервью Razão Automóvel.
СМОТРИ ТАКЖЕ: Uber выиграл битву, но война продолжается.
Трое молодых португальцев вызвали машину, чтобы протестировать мобильное приложение Uber. Через ноутбук - и, несмотря на подозрительный вид драйвера, группа быстро нашла первый недостаток: перехватывая связь между приложением и сервером компании, троица нашла способ получить доступ к запросам, сделанным другими пользователями платформы, и таким образом получить личную информацию. данные, такие как адрес электронной почты и фотография.
Обнаружив первую уязвимость в приложении Uber, им не потребовалось много времени, чтобы получить данные водителя, маршруты, которые он выбрал, и стоимость поездок. Следующие две недели молодежная группа посвятила свое свободное время обнаружению других недостатков в приложении. Среди основных уязвимостей - обнаружение истории путешествий пользователей платформы и более тысячи купонов на скидку, включая действительный код на 100 долларов, о котором сам Uber не знал, - которые можно было использовать позже. Все уязвимости подробно описаны здесь.
Всего было зарегистрировано 15 уязвимостей (хотя они уже исправлены), но из-за того, что о некоторых уже сообщалось, будут оплачены только 8 уязвимостей - четыре уже оплачены. В итоге трое молодых людей получили 18 000 долларов, что эквивалентно 16 300 евро.