Vai formosa e mais segura. Seguramente. Adapta-se o mote de Camões para falar da aplicação da UBER, o serviço de transportes que poderá estar em vias de legalização em Portugal. A própria multinacional norte-americana convidou hackers de todo o mundo a encontrar bugs na sua aplicação. As falhas foram detetadas e foram corrigidas. Ou estão em vias disso.
Da parte de Filipe Reis, Fábio Pires e Vítor Oliveira, a UBER teve conhecimento de 15 vulnerabilidades na sua aplicação. Validou oito como sendo relevantes. Já pagou os prémios correspondentes a quatro, que entretanto corrigiu. E estão mais quatro em análise, que podem vir a somar mais uns milhares de dólares aos 18 mil que o trio de ataque da Integrity já recebeu.
O dinheiro dos prémios foi diretamente para as contas dos três consultores. Tal como irá o que eventualmente venha a seguir. Porque se tratou de trabalho feito nas horas vagas, apesar de acarinhado pela Integrity, a empresa portuguesa dedicada à segurança de sistemas de informação.
Segunda-feira, dia 11 de Julho, às 15 horas, a Integrity promove um Webinar, com inscrições abertas. Será o momento para os interessados em qualquer parte do mundo conhecerem o que Filipe, Fábio e Vítor detetaram de vulnerável na UBER.
“Além de mostrar o que encontrámos, vamos falar das infraestruturas mais críticas para as empresas, onde podem estar mais vulnerabilidades, que normalmente são mais resultado de falhas humanas”, antecipa à TVI24, Filipe Reis, de 27 anos, engenheiro informático, formado na Universidade do Algarve.
Os bugs e os dólares
A viagem da UBER começou a 23 de março. Ponto de partida foi a página hackerone.com.
“Trata-se de um site em que as empresas se põem à disposição de quem queira testar os seus sistemas. Algumas oferecem prémios monetários. Noutros casos, pode ser apenas uma T-shirt. Um hacker regista-se lá com uma conta e a partir daí pode procurar falhas nas páginas ou aplicações”, conta Fábio Pires, de 27 anos, engenheiro informático, formado no Politécnico de Leiria.
Interessados em caçar bugs, por regra não faltam. E o caso da UBER não foi exceção. Sendo que, as falhas não podem ser usadas para proveito próprio.
“Se os termos do hackerone não forem cumpridos e uma falha detetada não for reportada ou for tornada pública, isso torna-se crime”, avisa Fábio.
O desafio do bug bounty da UBER surgiu-lhes então. Uma oportunidade para fazerem o que gostam, a convite de uma empresa que então andava nas bocas de Portugal.
“Era um bocado tudo a correr nesse sentido. Era uma empresa com muito hype na comunicação social. Estávamos mais folgados de tempo e acabámos por agarrar a ideia”, relembra Fábio.
Acresce que antes mesmo do desafio, os três já eram clientes da UBER.
“Eramos utilizadores, mas ainda não nos tínhamos apercebido de nada”, confessa Filipe, ao que Fábio acrescenta, “porque nunca tínhamos olhado para possíveis falhas”.
Com um olhar atento, foram descobrindo e colecionando bugs, entretanto comunicados e alguns já corrigidos pela UBER.
“A aplicação era vulnerável no acesso aos dados pessoais dos utilizadores, das viagens efetuadas pelos motoristas e até ao nível dos cupões”, elenca Fábio Pires.
May the brute force be with you
Um ataque brute force foi uma das táticas usadas durante cerca de duas semanas pelos três informáticos. Simplificando, esta “força bruta” consiste em tentar aceder a um código através de tentativa e erro, testando todas as combinações possíveis.
Com esta técnica, Fábio, Filipe e Vítor vasculharam números de telemóveis, encontraram utilizadores da UBER, podiam aceder ao seu identificador único, saber o seu e-mail e por aí fora.
O problema existia, mas já tinha sido reportado à empresa por outro investigador. E o prémio só é pago ao primeiro a comunicar o bug e de acordo com uma tabela específica. Em que uma vulnerabilidade crítica, que atinja a estrutura informática interna da empresa, pode ser recompensada por um valor até 10 mil dólares. Que baixa para cinco mil, quando por exemplo, estão em causa dados pessoais de clientes.
Vulnerabilidades destas, significativas, acabaram por as encontrar. E renderam-lhes dinheiro.
“A UBER cedeu-nos um identificador e conseguimos chegar ao mail, às viagens realizadas, ao telemóvel de um qualquer utilizador”, conta Fábio Pires.
Tudo por junto, entre dados pessoais de clientes e motoristas, suscetíveis depois de serem tomados de assalto com ataques brute force, ao registo das viagens feitas pelos mesmos, a UBER pagou três prémios, no valor de 13 mil dólares.
Os restantes cinco mil vieram de outra vulnerabilidade relacionada com cupões, numa modalidade existente nos Estados Unidos. Descobriram que era possível serem surripiados e usados à revelia dos seus compradores, adicionando-os a outra conta na UBER.
“Imagine-se que a TVI comprava um cupão de 200 euros e disponibiliza-o aos seus empregados para o usarem em caso de emergência. O sistema podia ser atacado com um ataque de brute force”, resume Fábio. E o crédito ser usado por terceiros.
Arrombar fechaduras
Filipe, Fábio e Vítor são três dos informáticos que trabalham entre os cerca de 50 elementos da Integrity, a empresa que há sete anos Rui Shantilal lançou com três outros colegas: Todos “já trabalhavam em segurança de sistemas de informação há uns 20 anos”.
Neste caso, mesmo usando recursos da Integrity, fizeram o trabalho de pentesters, ou penetradores de sistemas, por conta própria. Algo que o boss, Rui Shantilal, chama de “food for the brain”.
“Às pessoas que trabalham connosco, damos sempre abertura para fazerem investigação fora da caixa”, assume Rui Shantilal, managing partner da “empresa líder em Portugal no mercado da segurança de informação”, com clientes em dez países do mundo, em áreas como a banca, aviação, indústria e até organismos estatais.
“O nosso trabalho é o de tentar quebrar fechaduras para testar se as mesmas funcionam a 100%”, sintetiza Rui Shantilal, considerando que a operacionalidade a partir de Portugal é tudo menos um problema: “se o pirata pode estar em qualquer lado do mundo, também o podemos combater a partir de qualquer sítio”.
A credibilidade da Integrity tem assim sido construída sobre alicerces de várias certificações e inevitável discrição na forma de agir.
“Nos casos de investigação aberta, identificamos problemas nos sistemas informáticos, contatamos os clientes, informamo-los, aguardamos que corrijam o problema. Esperamos um período de tempo e só depois publicamos os resultados para a comunidade científica ligada à segurança de sistemas”, explica Rui Shantilal.
Daí, a Integrity ter acrescentado um novo modelo de negócio, o Keep It Secure 24, em que continuamente testa os sistemas de segurança das empresas.
“Creio que é um serviço inovador a nível mundial. Ficamos permanentemente atentos aos sistemas dos clientes. Até porque hoje em dia estão sempre a nascer e a surgir novas ameaças”, justifica Rui Shantilal, considerando que a prática comum das empresas de contratar serviços de intrusão uma vez por ano, para testarem a sua segurança, dá muito poucas garantias.