Мы не успели бесплатно покататься на такси: Uber исправила крупную ошибку в системе

В августе этого года Uber исправила баг в своей системе, позволявший совершать на принадлежащих ей такси бесплатные поездки. Локализовал ошибку индийский хакер, за что получил от Uber $5 000.

Ананд Пракаш (Anand Prakash), исследователь проблем безопасности, сообщил Uber об ошибке, найденной в рамках баг-баунти. Компания предоставила ему разрешение на проверку наличия уязвимости в Индии и США. Тестирование завершилось удачно, и Uber выплатила хакеру 5 тысяч долларов.

В чем заключалась ошибка?

Нарушение в системе безопасности возникало при выборе способа оплаты: можно было выбрать недействительный метод платежа, представляющий собой простую строку типа «abc» или «xyz», и таким образом избежать выставления счета. Uber исправила и обновила программу буквально в тот же день после обращения, но информацию о случившемся Ананд опубликовал в своем блоге только пару дней назад, во избежание хакерских атак в период эксплуатационного тестирования.

Источник: TechCrunch