O app do Uber tem remodelado vários segmentos de mercado com sua proposta de juntar quem quer um transporte com quem tem o veículo para prestar o serviço. Em um crescimento invejável, a companhia desafia setores tradicionais e hoje em dia se poderia dizer que é a maior empresa de táxi do mundo, sem ter sequer um único automóvel de sua propriedade. Tudo nesse negócio é baseado em dado e serviço digital. Isso é ótimo, mas como tudo nesse mundo de bits, há brechas de segurança. Um grupo de hackers descobriu oito delas no app.
Os bugs são considerados graves. Os três especialistas em segurança Vitor Oliveira (@r0t1v), Fábio Pires (@fabiopirespt) e Filipe Reis (@fjreis) – de uma empresa portuguesa – resolveram testar a inviolabilidade do app. Um dia chamaram um carro e utilizaram o veículo. Como qualquer passageiro normal, começaram a teclar em seus smartphones. Mas havia algo diferente no comportamento.
Eram mexidas insanas. Eles pouco prestavam a atenção no trajeto, no motorista ou nos agrados que geralmente estão dentro do carro para conforto do passageiro. Na realidade, eles já estavam testando o app e procurando brechas. E não demorou muito para acharem algumas, contam no blog da Integrity, a consultoria portuguesa da qual fazem parte.
À medida que o veículo percorria o caminho, eles conseguiam interceptar pedidos de viagem. Não demorou muito para notarem que havia um jeito de descobrir dados pessoais dos utilizadores do Uber como e-mail, foto e número de identificação atribuído a cada usuário pelo app. Com esses dados, um cruzamento simples dava acesso ao telefone das pessoas.
Perigo para os negócios
Um endereço de e-mail de um motorista pode ser usado em um ataque de força-bruta (técnica que realiza tentativas múltiplas em pouquíssimo tempo para tentar descobrir uma combinação de informações qualquer) para descobrir a senha do prestador de serviço. Com dados pessoais e senha, é possível se passar por ele.
Essa e outras falhas descobertas foram reconhecidas pelo Uber, que pagou um prêmio em dinheiro para o grupo. A lista completa está no site da consultoria de segurança da qual fazem parte. O grupo não revelou quanto recebeu ao todo, por todos os bugs encontrados. Em geral, esses programas de empresas que premiam falhas encontradas pagam alguns milhares de dólares para cada uma.
O Uber, assim como todas as empresas que usam o analytics e o big data como negócio, dependem da segurança e sigilo das informações para alavancarem negócios. Falhas dessa natureza, são riscos a toda a operação e a confiabilidade do serviço. Por isso, os prêmios são uma ninharia perto do que essas companhias de apps de serviço da economia colaborativa podem deixar de ganhar.
Acesse os outros sites da VideoPress
Portal Vida Moderna – www.vidamoderna.com.br
Radar Nacional – www.radarnacional.com.br
–