2016/06/24

Trio português recebe 18 mil dólares da Uber por falhas de segurança


Um trio de investigadores de segurança portugueses centrou as suas atenções na Uber, e o seu esforço foi recompensado, tendo recebido 18 mil dólares por diversas vulnerabilidades que encontram, incluindo uma que permitia ver as viagens de qualquer utilizador.

Fábio Pires, Filipe Reis e Vítor Oliveira são aquilo que se poder chamar de hackers "White Hat", usando todo o tipo de ataques para descobrir vulnerabilidades em sites, apps e serviços - e fazendo disso o seu modo de vida, na empresa Integrity. Com o protagonismo que a Uber tem tido no mercado nacional, e uma vez que esta é uma das empresas que promove a descoberta de falhas no seu serviço e recompensa quem as reportar (ao contrário daquelas empresas que optam por avançar com processos e tentar silenciar quem descobre falhas), decidiram ver que tal resistiria aos seus ataques. E depressa começaram a obter resultados...

Depois de terem descoberto algumas vulnerabilidades de risco reduzido e que já tinham sido reportadas à Uber por outros investigadores, o trio ganhou ânimo acrescido para encontrar algo mais substancial.

A primeira falha permitia abusar do sistema de códigos de desconto; uma falha que curiosamente a Uber começou por não considerar "falha", uma vez que o intuito destes códigos é serem divulgados publicamente... até que a equipa descobriu códigos "ERH" que dão créditos de $100 e que são usados por diversas entidades como forma de permitir que os seus funcionários possam usar o Uber para viagens em casos de emergência. Perante a possibilidade de qualquer utilizador começar a adicionar $100 à sua conta, a Uber lá reconheceu que era uma falha.


Mas as coisas não se ficaram por aqui, de seguida descobriram outras falhas que permitiam descobrir o email dos utilizadores da Uber, ter acesso aos dados das últimas viagens dos condutores da Uber, incluindo o nome do condutor, nome do cliente, matrícula do veículo e rota da viagem.

De momento, ignorando as várias vulnerabilidades "repetidas" que a Uber já conhecia e estava a resolver, a equipa portuguesa já reportou 8 vulnerabilidades, tendo já recebido 18 mil dólares de recompensa por 4 delas. Considerando todo o potencial de abuso que estas falhas possibilitavam (sendo que algumas delas ainda não podem ser reveladas publicamente, até que a Uber as corrija) acaba por ser um pequeno preço a pagar pela segurança do serviço e dos seus utilizadores.


Uma história que poderá inspirar alguns jovens que se interessem por este mundo a embarcarem neste mundo de tentar descobrir falhas em produtos existentes - e que, como mais uma vez ficou demonstrado, parece ser uma área onde não faltam falhas à espera de serem descobertas.

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]