Portugueses descobrem falhas graves na Uber e recebem 15 mil euros

São três Portugueses com menos de 30 anos.
Em comum: encontraram falhas graves na Uber que lher permitiram ver quem usa a Uber, obter dados pessoais e viajar de borla.

Filipe Reis,  Fábio Pires, e Vítor Oliveira, são jovens com menos de 30 anos. São todos “pentesters”. Ou, como se diz à Portuguesa, são pessoas que descobrem vulnerabilidades informáticas.

Os três jovens, de Lagos, Marinha Grande e Lisboa, respectivamente, decidiram por mãos à obra e começar a procurar falhas de segurança informática na Uber, a empresa que em Poirtugal tem tido uma grande polémica com os taxistas (ou será que são os taxistas com a Uber?).

 

As vulnerabilidades

Foram encontradas seis vulnerabilidades. Algumas permitem saber quem és no “sistema” da Uber, outras permitem saber que viagens estás a fazer e outras permitem viajar de borla.

A saber:

  • Brute force de cupões: Esta vulnerabilidade consistiu em testes sucessivos de cupões onde foram encontrados vários cupões válidos e ainda um cupão no valor de 100 dólares para uma viagem que podia ser aplicado a quem já aplicou cupões antes.
  • Obter e-mails de pessoas que usam Uber: Num outro bug foi possível encontrar forma de obter e-mails de pessoas que estejam registadas na Uber, graças aos parâmetros x-uber-uuid e uuid, usados em e-mails.
  • Obter e-mails a partir de números de telefone: Os três jovens meteram-se num Taxi Uber e decidiram interceptar as comunicações com a aplicação. Descobriram uma forma de associar os e-mails aos telefones dos contactos, devido a uma falha na forma como a Uber divide os custos da viagem com outros amigos. Este bug específico foi dado como duplicado, ou seja, outras pessoas já o tinham reportado.
  • Ser motorista sem conta activa: Neste bug foi possível alterando um parâmetro na aplicação de condutores da Uber entrar numa conta sem ela estar activa. A Uber confirma primeiro todos os documentos pessoais e do veículo antes de activar uma conta de condutor. O bug foi também dado como duplicado.
  • Ver a última viagem do condutor: Através de um erro na aplicação de condutores, é possível saber a última viagem de qualquer condutor. Basta saber o ID do condutor (algo que os bugs anteriores já possibilitaram).
  • Ver as viagens de outros condutores: O último bug tem a ver com as viagens que outros condutores fazem. Como tu consegues ver as tuas na tua aplicação, foi possível explorar uma vulnerabilidade que permitiu visualizar as viagens de qualquer pessoa.

Com tudo isto, os três programadores conseguiram ganhar 15 mil euros.

 

A história de como tudo aconteceu está contada em detalhe pelo Futurebehint que entrevistou os três jovens.
Se te interessas pela área da segurança podes ver os bugs em mais detalhes no site da Integrity.

 

Compra aqui a tua VPN
Partilhe no Facebook

Floating Widgets