Início » Antivírus e Segurança » Falha permitia fazer corridas de graça no Uber

Falha permitia fazer corridas de graça no Uber

Por
2 anos atrás

Uma falha no Uber permitia que os usuários fizessem corridas sem pagar nada. A vulnerabilidade foi descoberta pelo pesquisador de segurança indiano Anand Prakash, que ganhou US$ 5.000 de recompensa como parte do programa de bugs do serviço de transporte.

O bug é um daqueles que causam a sensação “nossa, sério que ninguém pensou nisso na hora de escrever o código?”. Basicamente, Prakash conseguia pedir uma corrida e, na requisição, trocar o método de pagamento por algo inválido — em vez de “cartão de crédito”, algo como “xyz”. Como o Uber não conseguia fazer a cobrança, a corrida saía de graça para o usuário.

O problema foi descoberto pelo pesquisador em agosto de 2016 e corrigido pelo Uber no mesmo dia, mas Prakash decidiu liberar os detalhes em seu blog apenas na semana passada. Ele obteve permissão da equipe de segurança do Uber para testar a falha e conseguiu pedir corridas sem pagar nada nos Estados Unidos e na Índia.

Esta prova de conceito mostra como a falha podia ser explorada:

O Uber tem um programa de recompensas para pesquisadores de segurança que paga entre US$ 100 e US$ 10.000 por bug descoberto, dependendo da gravidade. Segundo o CS Monitor, Anand Prakash chegou a ganhar US$ 15.000 por reportar uma única vulnerabilidade ao Facebook — e já embolsou mais de US$ 200.000 de empresas como Twitter, Google, eBay e Dropbox.

Mais sobre:
Participe das conversas do Tecnoblog

Leia o post inteiro antes de comentar
e seja legal com seus amiguinhos.

Carregar Comentários Conheça nossa política de comentários aqui.