Falha permitia fazer corridas de graça no Uber
Uma falha no Uber permitia que os usuários fizessem corridas sem pagar nada. A vulnerabilidade foi descoberta pelo pesquisador de segurança indiano Anand Prakash, que ganhou US$ 5.000 de recompensa como parte do programa de bugs do serviço de transporte.
O bug é um daqueles que causam a sensação “nossa, sério que ninguém pensou nisso na hora de escrever o código?”. Basicamente, Prakash conseguia pedir uma corrida e, na requisição, trocar o método de pagamento por algo inválido — em vez de “cartão de crédito”, algo como “xyz”. Como o Uber não conseguia fazer a cobrança, a corrida saía de graça para o usuário.
O problema foi descoberto pelo pesquisador em agosto de 2016 e corrigido pelo Uber no mesmo dia, mas Prakash decidiu liberar os detalhes em seu blog apenas na semana passada. Ele obteve permissão da equipe de segurança do Uber para testar a falha e conseguiu pedir corridas sem pagar nada nos Estados Unidos e na Índia.
Esta prova de conceito mostra como a falha podia ser explorada:
O Uber tem um programa de recompensas para pesquisadores de segurança que paga entre US$ 100 e US$ 10.000 por bug descoberto, dependendo da gravidade. Segundo o CS Monitor, Anand Prakash chegou a ganhar US$ 15.000 por reportar uma única vulnerabilidade ao Facebook — e já embolsou mais de US$ 200.000 de empresas como Twitter, Google, eBay e Dropbox.
![Como funciona o Uber Juntos? [ex-Uber Pool]](https://files.tecnoblog.net/wp-content/uploads/2020/02/uber-juntos-001-340x191.jpg)
![Como funciona o Uber Eats [pedidos, restaurantes e entregas]](https://files.tecnoblog.net/wp-content/uploads/2019/06/Uber-Eats-1-340x191.jpg)
