[sumber: YouTube]
Uber telah merilis secara umum bug bounty program yang semula hanya dirilis secara private. Semula program ini hanya dibuka untuk 200 peneliti keamanan, dan kini program tersebut dibuka secara umum. Dan untuk berterima kasih atas bantuan dalam meningkatkan keamanan, Uber menyediakan dana sampai 10.000 dollar untuk para pemburu hadiah yang mampu memberikan isu-isu kritis yang terdapat pada Uber.
Untuk mengambil bagian dalam program baru ini, bisa jadi para peneliti keamanan akan kesulitan. Para peneliti keamanan akan membutuhkan waktu yang lebih lama untuk mempelajari sistem, arsitektur, dan jenis-jenis kerentanan yang terdapat pada Uber. Oleh karena itu uber juga merilis “peta harta karun” yang dapat digunakan untuk memburu hadiah dalam memecahkan kerentanan keamanan dari Uber.
Uber merupakan sebuah layanan yang terbentuk dari beberapa bagian yang bergerak. Dan untuk mempelajarinya, Uber menyediakan daftar singkat yang berisi layanan-layanan publik yang rentan terhadap serangan serta memberikan tips-tips untuk berburu pada setiap bagiannya.
Para peneliti keamanan dapat menemukan masalah keamanan dari layanan-layanan publik tersebut. cn.uber.com yaitu layanan yang digunakan aplikasi Uber pada iOS dan Android berkomunikasi. Pada layanan ini pemburu hadiah dapat mencari bug keamanan dengan mencoba X-Uber-Token header, dan menguji coba UUID perjalanan/penggunan/sumberdaya lain.
Layanan vault.uber.com juga merupakan salah satu layanan yang dapat dicari kerentanannya untuk mendapatkan hadiah. Layanan ini merupakan tempat dimana mitra dapat mengakses kumpulan informasi dan nomor ID nasionalnya untuk mendapatkan bayaran dari pekerjaan dan dapat digunakan Uber untuk menjalankan proses screening-nya. Para peneliti keamanan dapat menemukan kerentanan yang dapat memotong verifikasi SMS untuk memodifikasi informasi dari Vault.
Selain itu, para peneliti dapat mengakses layanan business.uber.com, yaitu layanan yang mengizinkan bisnis mengelola wahana untuk pekerja dengan nyaman, untuk mencari hadiah. Pada layanan ini, kerentanan dapat terjadi pada akses akun pekerja terbatas yang dapat masuk sebagai administrator.
partner.uber.com juga dapat digunakan sebagai ladang mencari bug. Layanan ini adalah layanan yang dapat digunakan oleh mitra untuk mengelola informasi pribadi, seperti dokumen pribadi pengendara, laporan pembayaran, dan informasi pajak. Sehingga, peneliti dapat mencoba mengakses informasi pribadi milik mitra untuk mendapatkan hadiah.
Layanan lain yang dapat digunakan untuk mencari hadiah adalah developer.uber.com, yaitu sebuah layanan yang berisi API luar yang mengizinkan orang-orang membangun sebuah aplikasi yang berinteraksi dengan Uber. Kerentanan yang mungkin terjadi pada layanan ini adalah aplikasi pihak ketiga dapat mengakses informasi dari akun Uber, termasuk informasi-informasi yang tidak seharusnya dapat terakses.
Layanan riders.uber.com juga merupakan salah satu layanan Uber yang dimungkinkan memiliki bug untuk dilaporkan. Layanan tersebut merupakan tempat para pengendara Uber memasukan akun dan mengakses perjalanan terakhirnya, menganti profil dan informasi pembayaran, dan mencari hal-hal yang hilang. Para peneliti dapat mencari kerentanan layanan ini, yaitu kerentanan terkait pengungkapan informasi pengendar Uber secara sewenang-wenang.
Aplikasi Uber juga dapat menjadi sumber bug bagi para pemburu hadiah. Pemburu hadiah dapat mencoba mencari kerentanan dari mobile-app-specific, seperti penyimpanan informasi yang tidak aman, baris kode yang dapat digunakan untuk mengakses informasi sensitif, dan lainnya.
Layanan help.uber.com dalah layanan yang dimungkinkan terdapat bug di dalamnya. Karena layanan ini mendukung pengajuan tiket dukungan, kerentanan dengan resiko tinggi dapat muncul jika pengguna dapat mengirimkan tiket dengan pengguna berbeda.
Selain layanan-layanan di atas, terdapat beberapa kerentanan lain yang mungkin muncul pada sistem Uber,seperti kemampuan untuk mengubah email ke UUIDs pengguna dalam jumlah yang besar dan kemampuan melakukan pencacahan informasi sensitif dari bisnis Uber. Untuk mempelajarinya lebih lengkap, Uber telah menyediakan Uber Engineering Bug Bounty: The Treasure Map.
[via Uber]