Uma falha no Uber permitia que os usuários fizessem corridas sem pagar nada. A vulnerabilidade foi descoberta pelo pesquisador de segurança indiano Anand Prakash, que ganhou US$ 5.000 de recompensa como parte do programa de bugs do serviço de transporte.

O bug é um daqueles que causam a sensação “nossa, sério que ninguém pensou nisso na hora de escrever o código?”. Basicamente, Prakash conseguia pedir uma corrida e, na requisição, trocar o método de pagamento por algo inválido — em vez de “cartão de crédito”, algo como “xyz”. Como o Uber não conseguia fazer a cobrança, a corrida saía de graça para o usuário.

O problema foi descoberto pelo pesquisador em agosto de 2016 e corrigido pelo Uber no mesmo dia, mas Prakash decidiu liberar os detalhes em seu blog apenas na semana passada. Ele obteve permissão da equipe de segurança do Uber para testar a falha e conseguiu pedir corridas sem pagar nada nos Estados Unidos e na Índia.

Esta prova de conceito mostra como a falha podia ser explorada:

O Uber tem um programa de recompensas para pesquisadores de segurança que paga entre US$ 100 e US$ 10.000 por bug descoberto, dependendo da gravidade. Segundo o CS Monitor, Anand Prakash chegou a ganhar US$ 15.000 por reportar uma única vulnerabilidade ao Facebook — e já embolsou mais de US$ 200.000 de empresas como Twitter, Google, eBay e Dropbox.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Thiago Mocci

Já aconteceu comigo do app bugar e cobrar o valor mínimo da corrida (era R$ 6) de quase R$ 70 (uma ida ao aeroporto). Avisei no Ajuda e estornaram a corrida, cobrando o valor integral. Se eu tivesse "dado o jeitinho", tinha passado, pois cheguei a usar outra corrida no Uber normalmente antes de perceber o bug.

Renan Rufino
Comigo já! Eu usada um perfil pra minha esposa usar o meu cartão e esse perfil bugou e não cobrou as corridas, acontecendo do mesmo jeito que você falou. Resolvi da mesma forma
Rodrigo Silva Barretos
Ele mesmo =D
Krosna Terrestre
Teoricamente só daria para fazer uma vez então, ja que o app não deixa pedir enquanto estiver devendo. Ainda tem o custo do chip de celular para confirmar o cadastro, q custa cerca de 10 reais. Seria interessante para motoristas ficarem fazendo corridas para si mesmo ;)
Krosna Terrestre
Nubank ?
NoobIsrael
É difícil pakas, boa sorte
Michael Loeps™

Pensei a mesma coisa.

bwoooruuuummmm™
Pensei a mesma coisa.
Rodrigo Silva Barretos
Já teve uma vez que fiz um corrida e meu cartão de crédito estava bloqueado e no final da corrida o UBER não conseguiu efetuar a cobrança. A aplicativo do cartão de crédito me avisou, mas por 3 dias o aplicativo do UBER não me avisou de nada, não recebi nenhum e-mail sobre problemas de cobrança. Inclusive recebi meu recibo da corrida normalmente. Somente depois de entrar no setor de ajuda do aplicativo e dizer que eu tive problemas com o pagamento que o aplicativo refez a cobrança no cartão de crédito. Já aconteceu com mais alguém?
Carlos Taylor
Olha, se o brasileiro fosse um povo experiente em tecnologia isso já tinha virado moda por pelo menos um dia..
Caio
Com esses valores vou começar a ter uma carreira em descobrir e reportar falhas de segurança.