Estes três portugueses descobriram falhas na app da Uber e foram recompensados

Um grupo de penetration testers portugueses encontrou um total de 15 falhas graves na app da Uber. Resultado? Receberam mais de 16 mil euros de compensação.

A 22 de março, a Uber lançou um programa público de bugs – conhecido como bug bounty – que convida os utilizadores a descobrirem falhas na plataforma, a troco de uma remuneração que varia consoante a gravidade da falha encontrada. Poucos dias depois, Fábio Pires, Filipe Reis e Vítor Oliveira começaram a magicar um plano para invadir a aplicação e descobrir vulnerabilidades no sistema.

Os três jovens, com idades entre os 25 e 27 anos, trabalham numa empresa portuguesa como penetration testers (ou pentesters), que no fundo são profissionais de segurança responsáveis por encontrar vulnerabilidades em vários sistemas, redes ou programas. “Este projeto não difere muito daquilo que fazemos no dia-a-dia”, salientou Vítor Oliveira à Razão Automóvel.

VEJAM TAMBÉM: A Uber venceu uma batalha, mas a guerra continua.

Os três jovens portugueses chamaram um carro para por à prova a aplicação móvel da Uber. Através do computador portátil – e apesar do olhar desconfiado do motorista, o grupo rapidamente encontrou a primeira falha: intercetando a comunicação entre a aplicação e o servidor da empresa, o trio descobriu uma forma de aceder aos pedidos feitos por outros utilizadores da plataforma e assim obter dados pessoais como o endereço de e-mail e fotografia.

uber

Depois de encontrada a primeira vulnerabilidade na aplicação da Uber, não demorou muito para conseguirem chegar aos dados do motorista, os trajetos que realizou e qual o valor das viagens. O grupo de jovens dedicou o seu tempo livre nas duas semanas seguintes à descoberta de outras falhas na aplicação. Entre as principais vulnerabilidades destacam-se a descoberta do histórico de viagens dos utilizadores da plataforma e mais de mil cupões de desconto – inclusive um código válido com 100 dólares, que a própria Uber desconhecia – que poderiam ser posteriormente utilizados. Todas as vulnerabilidades são descritas ao detalhe aqui.

No total, foi reportado um total de 15 vulnerabilidades (entretanto já corrigidas), mas devido ao facto de algumas já terem sido reportadas, apenas 8 vulnerabilidades serão remuneradas – quatro já foram pagas. No final de contas, os três jovens receberam 18 mil dólares, o equivalente a 16 300 euros.

Segue a Razão Automóvel no Instagram e no Twitter

Mais artigos em Notícias