Uma falha no Uber permitia que os usuários fizessem corridas sem pagar nada. A vulnerabilidade foi descoberta pelo pesquisador de segurança indiano Anand Prakash, que ganhou US$ 5.000 de recompensa como parte do programa de bugs do serviço de transporte.

O bug é um daqueles que causam a sensação “nossa, sério que ninguém pensou nisso na hora de escrever o código?”. Basicamente, Prakash conseguia pedir uma corrida e, na requisição, trocar o método de pagamento por algo inválido — em vez de “cartão de crédito”, algo como “xyz”. Como o Uber não conseguia fazer a cobrança, a corrida saía de graça para o usuário.

O problema foi descoberto pelo pesquisador em agosto de 2016 e corrigido pelo Uber no mesmo dia, mas Prakash decidiu liberar os detalhes em seu blog apenas na semana passada. Ele obteve permissão da equipe de segurança do Uber para testar a falha e conseguiu pedir corridas sem pagar nada nos Estados Unidos e na Índia.

Esta prova de conceito mostra como a falha podia ser explorada:

O Uber tem um programa de recompensas para pesquisadores de segurança que paga entre US$ 100 e US$ 10.000 por bug descoberto, dependendo da gravidade. Segundo o CS Monitor, Anand Prakash chegou a ganhar US$ 15.000 por reportar uma única vulnerabilidade ao Facebook — e já embolsou mais de US$ 200.000 de empresas como Twitter, Google, eBay e Dropbox.

Receba mais notícias do Tecnoblog na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Paulo Higa

Paulo Higa

Editor-executivo

Paulo Higa é jornalista com MBA em Gestão pela FGV e uma década de experiência na cobertura de tecnologia. Trabalha no Tecnoblog desde 2012, viajou para mais de 10 países para acompanhar eventos da indústria e já publicou 400 reviews de celulares, TVs e computadores. É coapresentador do Tecnocast e usa a desculpa de ser maratonista para testar wearables que ainda nem chegaram ao Brasil.

Relacionados