Một nhóm các nhà kiểm tra khả năng thâm nhập của Bồ Đào Nha đã phát hiện ra tổng cộng 15 lỗ hổng nghiêm trọng trong ứng dụng Uber. Kết quả? Họ nhận được hơn 16 nghìn euro tiền bồi thường.
Vào ngày 22 tháng 3, Uber đã tung ra một chương trình lỗi công khai - được gọi là tiền thưởng lỗi - mời người dùng phát hiện ra lỗi trong nền tảng, đổi lại một khoản phí thay đổi tùy thuộc vào mức độ nghiêm trọng của lỗi được tìm thấy. Vài ngày sau, Fábio Pires, Filipe Reis và Vítor Oliveira bắt đầu lên kế hoạch xâm nhập ứng dụng và phát hiện ra các lỗ hổng trong hệ thống.Ba thanh niên, từ 25 đến 27 tuổi, làm việc trong một công ty của Bồ Đào Nha với tư cách là người kiểm tra thâm nhập (hoặc pentesters), về cơ bản là các chuyên gia bảo mật chịu trách nhiệm tìm kiếm lỗ hổng trong các hệ thống, mạng hoặc chương trình khác nhau. “Dự án này không khác nhiều so với những gì chúng tôi làm hàng ngày”, Vítor Oliveira nói với Razão Automóvel nhấn mạnh.
HÃY XEM CŨNG: Uber đã thắng một trận chiến, nhưng cuộc chiến vẫn tiếp tục.
Ba bạn trẻ người Bồ Đào Nha đã gọi xe để đưa ứng dụng di động Uber vào thử nghiệm. Thông qua máy tính xách tay - và bất chấp cái nhìn đáng ngờ về trình điều khiển, nhóm đã nhanh chóng tìm ra lỗ hổng đầu tiên: bằng cách chặn giao tiếp giữa ứng dụng và máy chủ của công ty, bộ ba đã tìm ra cách truy cập các yêu cầu do người dùng nền tảng khác thực hiện và do đó có được thông tin cá nhân. dữ liệu như địa chỉ email và ảnh.
Sau khi tìm ra lỗ hổng đầu tiên trong ứng dụng Uber, họ không mất nhiều thời gian để có được dữ liệu của tài xế, các tuyến đường anh ta đã đi và giá trị của các chuyến đi. Nhóm thanh niên dành thời gian rảnh trong hai tuần tiếp theo để khám phá những sai sót khác trong ứng dụng. Trong số các lỗ hổng chính là việc phát hiện lịch sử đi lại của người dùng nền tảng và hơn một nghìn phiếu giảm giá - bao gồm một mã hợp lệ với 100 đô la, mà chính Uber cũng không biết - có thể được sử dụng sau này. Tất cả các lỗ hổng được mô tả chi tiết tại đây.
Tổng cộng, có tổng cộng 15 lỗ hổng đã được báo cáo (mặc dù đã được sửa), nhưng do một số lỗ hổng đã được báo cáo nên chỉ có 8 lỗ hổng được thanh toán - bốn lỗ đã được thanh toán. Cuối cùng, ba bạn trẻ nhận được 18.000 USD, tương đương 16.300 Euro.