Skupina portugalských penetračných testerov našla v aplikácii Uber celkovo 15 vážnych nedostatkov. výsledok? Ako odškodné dostali viac ako 16-tisíc eur.
22. marca Uber spustil verejný program na odstránenie chýb – známy ako bug bounty – ktorý pozýva používateľov, aby objavili chyby na platforme, výmenou za poplatok, ktorý sa líši v závislosti od závažnosti zistenej chyby. O niekoľko dní neskôr Fábio Pires, Filipe Reis a Vítor Oliveira začali vymýšľať plán na napadnutie aplikácie a odhalenie zraniteľností v systéme.Traja mladí ľudia vo veku od 25 do 27 rokov pracujú v portugalskej spoločnosti ako penetrační testeri (alebo pentesteri), ktorí sú v podstate profesionálmi v oblasti bezpečnosti, ktorí sú zodpovední za vyhľadávanie zraniteľností v rôznych systémoch, sieťach alebo programoch. „Tento projekt sa príliš nelíši od toho, čo robíme na dennej báze,“ zdôraznil Vítor Oliveira pre Razão Automóvel.
POZRI TIEŽ: Uber vyhral bitku, ale vojna pokračuje.
Traja mladí Portugalci zavolali auto, aby otestovali mobilnú aplikáciu Uber. Prostredníctvom notebooku – a napriek podozrievavému vzhľadu vodiča, skupina rýchlo našla prvý nedostatok: zachytením komunikácie medzi aplikáciou a serverom spoločnosti našla trojica spôsob, ako získať prístup k požiadavkám iných používateľov platformy a získať tak osobné údaje, ako je e-mailová adresa a fotografia.
Po nájdení prvej zraniteľnosti v aplikácii Uber netrvalo dlho a dostali sa k údajom vodiča, trasám, ktorými išiel a hodnote ciest. Mládežnícka skupina nasledujúce dva týždne venovala svoj voľný čas objavovaniu ďalších nedostatkov aplikácie. Medzi hlavné slabé miesta patrí odhalenie cestovateľskej histórie používateľov platformy a viac ako tisíc zľavových kupónov – vrátane platného kódu so 100 dolármi, ktorý samotný Uber nepoznal – ktoré by sa dali použiť neskôr. Všetky zraniteľnosti sú podrobne popísané tu.
Celkovo je nahlásených (aj keď už opravených) 15 zraniteľností, no vzhľadom na to, že niektoré už boli nahlásené, bude zaplatených len 8 zraniteľností – štyri sú už zaplatené. Nakoniec traja mladí ľudia dostali 18 000 dolárov, v prepočte 16 300 eur.