En grupp portugisiska penetrationstestare hittade totalt 15 allvarliga brister i Uber-appen. Resultat? De fick mer än 16 tusen euro i ersättning.
Den 22 mars lanserade Uber ett offentligt buggprogram – känt som en bug-bounty – som inbjuder användare att upptäcka buggar på plattformen, i utbyte mot en avgift som varierar beroende på hur allvarligt felet är. Några dagar senare började Fábio Pires, Filipe Reis och Vítor Oliveira hitta på en plan för att invadera applikationen och upptäcka sårbarheter i systemet.De tre ungdomarna, mellan 25 och 27 år, arbetar i ett portugisiskt företag som penetrationstestare (eller penetester), som i grunden är säkerhetsproffs som ansvarar för att hitta sårbarheter i olika system, nätverk eller program. "Detta projekt skiljer sig inte mycket från vad vi gör på en daglig basis", betonade Vítor Oliveira till Razão Automóvel.
SE ÄVEN: Uber vann ett slag, men kriget fortsätter.
De tre unga portugiserna ringde en bil för att sätta Ubers mobilapplikation på prov. Genom den bärbara datorn – och trots förarens misstänksamma blick, hittade gruppen snabbt det första felet: genom att avlyssna kommunikationen mellan applikationen och företagets server hittade trion ett sätt att komma åt förfrågningar från andra plattformsanvändare och på så sätt få personliga data som e-postadress och foto.
Efter att ha hittat den första sårbarheten i Uber-applikationen tog det inte lång tid för dem att komma till förarens data, vägarna han tog och resornas värde. Ungdomsgruppen ägnade sin fritid under de kommande två veckorna åt att upptäcka andra brister i ansökan. Bland de främsta sårbarheterna finns upptäckten av resehistoriken för användare av plattformen och mer än tusen rabattkuponger – inklusive en giltig kod med 100 dollar, som Uber själv inte kände till – som skulle kunna användas senare. Alla sårbarheter beskrivs i detalj här.
Totalt har totalt 15 sårbarheter rapporterats (dock redan åtgärdade), men på grund av att några redan har rapporterats kommer endast 8 sårbarheter att betalas – fyra är redan betalda. Till slut fick de tre ungdomarna 18 000 dollar, motsvarande 16 300 euro.