Isang grupo ng mga Portuguese penetration tester ang nakakita ng kabuuang 15 seryosong depekto sa Uber app. Resulta? Nakatanggap sila ng higit sa 16 libong euro bilang kabayaran.
Noong Marso 22, inilunsad ng Uber ang isang pampublikong programa ng bug – na kilala bilang isang bug bounty – na nag-iimbita sa mga user na tumuklas ng mga bug sa platform, kapalit ng bayad na nag-iiba depende sa kalubhaan ng nakitang bug. Pagkalipas ng ilang araw, nagsimulang gumawa sina Fábio Pires, Filipe Reis at Vitor Oliveira ng isang plano para salakayin ang application at tuklasin ang mga kahinaan sa system.Ang tatlong kabataan, nasa pagitan ng 25 at 27, ay nagtatrabaho sa isang kumpanyang Portuges bilang mga penetration tester (o mga pentester), na pangunahing mga propesyonal sa seguridad na responsable sa paghahanap ng mga kahinaan sa iba't ibang sistema, network o programa. "Ang proyektong ito ay hindi gaanong naiiba sa kung ano ang ginagawa namin sa araw-araw", diin ni Vítor Oliveira kay Razão Automóvel.
TINGNAN DIN: Nanalo ang Uber sa isang labanan, ngunit nagpapatuloy ang digmaan.
Tumawag ng kotse ang tatlong kabataang Portuges para subukan ang Uber mobile application. Sa pamamagitan ng laptop – at sa kabila ng kahina-hinalang hitsura ng driver, mabilis na natagpuan ng grupo ang unang kapintasan: sa pamamagitan ng pagharang sa komunikasyon sa pagitan ng application at server ng kumpanya, nakahanap ang trio ng paraan para ma-access ang mga kahilingang ginawa ng ibang mga user ng platform at sa gayon ay kumuha ng personal data tulad ng email address at litrato.
Matapos mahanap ang unang kahinaan sa Uber application, hindi nagtagal bago nila nakuha ang data ng driver, ang mga rutang dinaanan niya at ang halaga ng mga biyahe. Inilaan ng grupo ng kabataan ang kanilang libreng oras para sa susunod na dalawang linggo sa pagtuklas ng iba pang mga depekto sa aplikasyon. Kabilang sa mga pangunahing kahinaan ay ang pagtuklas sa kasaysayan ng paglalakbay ng mga gumagamit ng platform at higit sa isang libong mga kupon ng diskwento - kabilang ang isang wastong code na may 100 dolyar, na hindi alam mismo ng Uber - na maaaring magamit sa ibang pagkakataon. Ang lahat ng mga kahinaan ay inilarawan nang detalyado dito.
Sa kabuuan, may kabuuang 15 na mga kahinaan ang naiulat (bagaman naayos na), ngunit dahil sa katotohanan na ang ilan ay naiulat na, 8 mga kahinaan lamang ang babayaran - apat na ang nabayaran na. Sa huli, nakatanggap ang tatlong kabataan ng $18,000, katumbas ng €16,300.