Un accidente de Uber permitió a los usuarios competir sin pagar nada. La vulnerabilidad fue descubierta por el investigador de seguridad indio Anand Prakash, quien obtuvo una recompensa de $ 5,000 como parte del programa de errores del transbordador.
El error es uno de los que causa la sensación «wow, ¿en serio nadie lo pensó al escribir el código?». Básicamente, Prakash podría pedir una carrera y, si lo solicita, cambiar el método de pago por algo no válido, en lugar de «tarjeta de crédito», algo así como «xyz». Como Uber no podía cobrar, la carrera era gratuita para el usuario.
El problema fue descubierto por el investigador en agosto de 2016 y solucionado por Uber el mismo día, pero Prakash decidió publicar los detalles en su blog la semana pasada. Obtuvo el permiso del equipo de seguridad de Uber para probar la falla y pudo ordenar carreras no pagadas en los Estados Unidos y la India.
Esta prueba de concepto muestra cómo se podría explotar la falla:
https://youtube.com/watch?v=8UvTzepHUFA%3F
Uber tiene un programa de recompensas para investigadores de seguridad que paga entre $ 100 y $ 10,000 por error descubierto, dependiendo de la gravedad. Según CS Monitor , Anand Prakash ha ganado $ 15,000 por informar una vulnerabilidad a Facebook , y se ha embolsado más de $ 200,000 de compañías como Twitter , Google , eBay y Dropbox .
Contenido Relacionado
Cómo proteger mejor su privacidad en Internet – Guía completa
Leer Más
Lista de nuevas características de Windows 10 Creators Update
Leer Más
Corregir el error ERR_UNSAFE_PORT en Google Chrome en Windows 10
Leer Más
Cómo detener o desactivar la ventana emergente de alerta de CCleaner en Windows 10/8
Leer Más
Los dispositivos Bluetooth no se muestran o no se conectan en Windows 10
Leer Más
iOS 11.2 explica que el centro de control no deshabilita Bluetooth y Wi-Fi.
Leer Más