Via verschillende beveiligingslekken in de websites en applicaties van taxidienst Uber was het voor Portugese onderzoekers mogelijk om de namen van Uberklanten en taxichauffeurs te achterhalen, alsmede ritgegevens zoals vertreklocatie, bestemming, datum en prijs.

In een uitgebreide omschrijving leggen de Portugese onderzoekers uit hoe ze te werk gingen. In totaal werden er veertien problemen gevonden. Zes daarvan waren al door andere onderzoekers ontdekt. Van de resterende acht zijn er inmiddels vier door de Portugese onderzoekers openbaar gemaakt. Zo bleek het mogelijk om promotiecodes, klantcodes en e-mailadressen van klanten via een brute force-aanval te achterhalen. Ook bleek het mogelijk om telefoonnummers van klanten via één van de apps op te vragen. Dit laatste probleem was echter al door een andere onderzoeker gevonden.

Uit de uitleg van de onderzoekers wordt echter duidelijk hoe via informatie van de verschillende losstaande lekken weer ander kwetsbaarheden worden gevonden. Via de chauffeurcode die via een ander lek is gevonden slagen ze er uiteindelijk in om de naam van de chauffeur, kentekenplaat, naam van de laatste passagier, aantal passagiers, vertreklocatie en plaats van bestemming te achterhalen.

Een andere kwetsbaarheid maakte het mogelijk om gebruikers te spoofen en zo informatie over andere gebruikers op te vragen. Via dit lek vinden de onderzoekers een nieuwe kwetsbaarheid, waarbij ze van een Uber-klant al zijn taxiritten weten te achterhalen, waar en wanneer die plaatsvonden en hoeveel er moest worden afgerekend. Alle vier de unieke kwetsbaarheden die de onderzoekers beschrijven zijn inmiddels door Uber opgelost. Aangezien Uber een beloningsprogramma voor het melden van kwetsbaarheden heeft werden ze hiervoor ook beloond. Hoeveel de taxidienst heeft betaald is niet bekendgemaakt.