O pesquisador de segurança Anand Prakash descobriu recentemente uma falha que permitia fazer corridas no aplicativo da Uber sem ter que pagar por isso. A vulnerabilidade, que foi reportada à empresa pelo programa de recompensas para quem encontra erros no código do aplicaitivo, já foi corrigida.
Em uma postagem em seu blog, Prakash descreve o bug encontrado e explica: “Qualquer agressor poderia ter abusado do erro, tendo passeios gratuitos ilimitados em sua conta na Uber”.
A falha acontecia ao especificar o método de pagamento no app. O pesquisador mostra que, ao indicar uma opção inválida, expressa em uma sequência de caracteres aleatórios como “abc” e “xyz”, a corrida não era cobrada.
O processo pode ser visto no vídeo abaixo:
Como resultado de sua descoberta, Prakash recebeu um prêmio de US$ 5.000. “O programa de recompensas de bugs da Uber trabalha com pesquisadores de segurança de todo o mundo para corrigir bugs, mesmo quando eles não afetam diretamente nossos usuários. Agradecemos as contínuas contribuições de Anand e estamos felizes em recompensá-lo por um excelente trabalho”, explica um porta-voz da Uber.
Via TechCrunch
Tags: