กลุ่มผู้ทดสอบการเจาะระบบของโปรตุเกสพบข้อบกพร่องร้ายแรงทั้งหมด 15 รายการในแอป Uber ผลลัพธ์? พวกเขาได้รับค่าตอบแทนมากกว่า 16,000 ยูโร
เมื่อวันที่ 22 มีนาคม Uber ได้เปิดตัวโปรแกรมแก้ไขข้อบกพร่องสาธารณะที่เรียกว่า Bug Bounty ซึ่งเชิญชวนให้ผู้ใช้ค้นพบจุดบกพร่องในแพลตฟอร์มเพื่อแลกกับค่าธรรมเนียมที่แตกต่างกันไปตามความรุนแรงของจุดบกพร่องที่พบ ไม่กี่วันต่อมา Fábio Pires, Filipe Reis และ Vítor Oliveira เริ่มจัดทำแผนเพื่อบุกรุกแอปพลิเคชันและค้นพบช่องโหว่ในระบบคนหนุ่มสาวสามคนอายุระหว่าง 25 ถึง 27 ปีทำงานในบริษัทโปรตุเกสในฐานะผู้ทดสอบการเจาะระบบ (หรือเพนเทอร์) ซึ่งเป็นผู้เชี่ยวชาญด้านความปลอดภัยขั้นพื้นฐานที่รับผิดชอบในการค้นหาช่องโหว่ในระบบ เครือข่าย หรือโปรแกรมต่างๆ “โครงการนี้ไม่ได้แตกต่างจากสิ่งที่เราทำในแต่ละวันมากนัก” Vítor Oliveira เน้นไปที่ Razão Automóvel
ดูเพิ่มเติม: Uber ชนะการต่อสู้ แต่สงครามยังคงดำเนินต่อไป
คนหนุ่มสาวชาวโปรตุเกสสามคนเรียกรถเพื่อทดสอบแอปพลิเคชันมือถือ Uber ผ่านแล็ปท็อป – และถึงแม้จะดูน่าสงสัยของไดรเวอร์ กลุ่มพบข้อบกพร่องแรกอย่างรวดเร็ว: ด้วยการสกัดกั้นการสื่อสารระหว่างแอปพลิเคชันและเซิร์ฟเวอร์ของบริษัท ทั้งสามคนพบวิธีเข้าถึงคำขอที่ผู้ใช้แพลตฟอร์มรายอื่นทำ ข้อมูลเช่นที่อยู่อีเมลและรูปถ่าย
หลังจากพบช่องโหว่แรกในแอปพลิเคชัน Uber ก็ใช้เวลาไม่นานในการเข้าถึงข้อมูลคนขับ เส้นทางที่เขาใช้ และมูลค่าของการเดินทาง กลุ่มเยาวชนอุทิศเวลาว่างเป็นเวลาสองสัปดาห์ข้างหน้าเพื่อค้นหาข้อบกพร่องอื่นๆ ในแอปพลิเคชัน ช่องโหว่ที่สำคัญ ได้แก่ การค้นพบประวัติการเดินทางของผู้ใช้แพลตฟอร์มและคูปองส่วนลดมากกว่าหนึ่งพันใบ ซึ่งรวมถึงรหัสที่ถูกต้อง 100 ดอลลาร์ ซึ่ง Uber เองก็ไม่ทราบ ซึ่งสามารถใช้ในภายหลังได้ ช่องโหว่ทั้งหมดได้อธิบายไว้ในรายละเอียดที่นี่
โดยรวมแล้ว มีการรายงานช่องโหว่ทั้งหมด 15 รายการ (แม้ว่าจะได้รับการแก้ไขแล้วก็ตาม) แต่เนื่องจากมีการรายงานช่องโหว่บางส่วนแล้ว จะมีการจ่ายช่องโหว่เพียง 8 รายการเท่านั้น โดยได้ชำระเงินไปแล้วสี่รายการ ในท้ายที่สุด คนหนุ่มสาวสามคนได้รับเงิน 18,000 ดอลลาร์ เทียบเท่ากับ 16,300 ยูโร