一組葡萄牙滲透測試人員在 Uber 應用程序中發現了總共 15 個嚴重缺陷。結果?他們獲得了超過 16,000 歐元的賠償。
3 月 22 日,優步推出了一項公共漏洞計劃——稱為漏洞賞金計劃——邀請用戶發現平台中的漏洞,以換取根據所發現漏洞的嚴重程度而有所不同的費用。幾天后,Fábio Pires、Filipe Reis 和 Vítor Oliveira 開始策劃入侵應用程序並發現系統漏洞的計劃。這三個年輕人,年齡在 25 到 27 歲之間,在一家葡萄牙公司工作,擔任滲透測試員(或滲透測試員),他們從根本上是安全專業人員,負責發現各種系統、網絡或程序中的漏洞。 “這個項目與我們的日常工作沒有太大區別”,Vítor Oliveira 向 Razão Automóvel 強調。
還請參見:優步贏得了一場戰鬥,但戰爭仍在繼續。
三個葡萄牙年輕人叫了車來測試優步移動應用程序。通過筆記本電腦——儘管司機看起來很可疑,這群人很快發現了第一個漏洞:通過攔截應用程序和公司服務器之間的通信,三人找到了一種方法來訪問其他平台用戶的請求,從而獲取個人信息。電子郵件地址和照片等數據。
在發現優步應用程序中的第一個漏洞後,他們很快就獲得了司機的數據、他所走的路線和行程的價值。青年組在接下來的兩週內將他們的空閒時間用於發現應用程序中的其他缺陷。主要漏洞包括發現該平台用戶的旅行歷史和一千多張折扣券——包括一個 100 美元的有效代碼,優步本身並不知道——可以在以後使用。此處詳細描述了所有漏洞。
總共報告了 15 個漏洞(雖然已經修復),但由於已經報告了一些漏洞,因此只支付 8 個漏洞 - 已經支付了 4 個。最終,這三個年輕人獲得了 18,000 美元,相當於 16,300 歐元。