В сервисе по заказу такси Uber нашли и устранили уязвимость, позволявшую заказывать бесплатные поездки, пишет RB со ссылкой на TechCrunch.
В Uber нашли ошибку, позволявшую ездить бесплатно (видео)
/nginx/o/2022/03/07/14412109t1h16fe.png)
5 марта 2017, 16:40
Обращаем ваше внимание, что статье более пяти лет и она находится в нашем архиве. Мы не несем ответственности за содержание архивов, таким образом, может оказаться необходимым ознакомиться и с более новыми источниками.
Ошибку нашел специалист в сфере кибербезопасности Ананд Пракаш. Рассказав об уязвимости представителям Uber, исследователь получил разрешение и успешно получил при помощи ошибки бесплатные поездки в США и Индии.
В своем блоге Пракаш пояснил, что уязвимость была встроена в код официального сайта сервиса. Меняя код способа оплаты поездки на практически любую последовательность символов (например, zyxxxx), специалисту удавалось заказать бесплатную поездку. В своем посте Пракаш также разместил видео с частичной демонстрацией.
По словам Пракаша, он обнаружил баг в августе 2016 года, после чего передал Uber данные о нем в рамках запущенной компанией программы по вознаграждениям для хакеров на сайте HackerOne. Сервис исправил уязвимость в тот же день, а Пракаш получил за свой отчет 5 тысяч долларов.
В разговоре с изданием представитель Uber подтвердил эту информацию, отметив, что в компании «ценят вклад Ананда». Как уточняет TechCrunch, Пракаш также регулярно сообщает об уязвимостях в Facebook.