Група португальських тестувальників на проникнення виявила загалом 15 серйозних недоліків у додатку Uber. Результат? Вони отримали понад 16 тисяч євро компенсації.
22 березня Uber запустив загальнодоступну програму для виявлення помилок, відому як винагорода за помилки, яка пропонує користувачам виявляти помилки на платформі в обмін на оплату, яка залежить від серйозності виявленої помилки. Через кілька днів Фабіо Пірес, Філіпе Рейс і Вітор Олівейра почали готувати план проникнення в програму та виявлення вразливостей у системі.Троє молодих людей у віці від 25 до 27 працюють в португальській компанії тестувальниками на проникнення (або пентестерами), які по суті є професіоналами з безпеки, відповідальними за пошук уразливостей у різних системах, мережах або програмах. «Цей проект мало чим відрізняється від того, що ми робимо щодня», – підкреслив Вітор Олівейра для Razão Automóvel.
ДИВІТЬСЯ ТАКОЖ: Uber виграв битву, але війна триває.
Троє молодих португальців викликали автомобіль, щоб випробувати мобільний додаток Uber. Через ноутбук – і незважаючи на підозрілий вигляд водія, група швидко знайшла перший недолік: перехопивши зв’язок між програмою та сервером компанії, тріо знайшло спосіб отримати доступ до запитів, зроблених іншими користувачами платформи, і таким чином отримати персональні дані. такі дані, як адреса електронної пошти та фотографія.
Після виявлення першої вразливості в додатку Uber їм не знадобилося багато часу, щоб дістатися до даних водія, маршрутів, які він пройшов, і вартості поїздок. Молодіжна група протягом наступних двох тижнів присвятила свій вільний час виявленню інших недоліків програми. Серед основних вразливостей – виявлення історії подорожей користувачів платформи та понад тисячу купонів на знижку – включно з дійсним кодом на 100 доларів, про який сам Uber не знав, – якими можна було б скористатися пізніше. Усі уразливості детально описані тут.
Загалом було повідомлено про 15 вразливостей (хоча вже виправлених), але через те, що деякі вже повідомлено, буде оплачено лише 8 уразливостей – чотири вже оплачені. У підсумку троє молодих людей отримали 18 000 доларів, що еквівалентно 16 300 євро.