Un accidente de Uber permitió a los usuarios competir sin pagar nada. La vulnerabilidad fue descubierta por el investigador de seguridad indio Anand Prakash, quien obtuvo una recompensa de $ 5,000 como parte del programa de errores del transbordador.
El error es uno de los que causa la sensación «wow, ¿en serio nadie lo pensó al escribir el código?». Básicamente, Prakash podría pedir una carrera y, si lo solicita, cambiar el método de pago por algo no válido, en lugar de «tarjeta de crédito», algo así como «xyz». Como Uber no podía cobrar, la carrera era gratuita para el usuario.
El problema fue descubierto por el investigador en agosto de 2016 y solucionado por Uber el mismo día, pero Prakash decidió publicar los detalles en su blog la semana pasada. Obtuvo el permiso del equipo de seguridad de Uber para probar la falla y pudo ordenar carreras no pagadas en los Estados Unidos y la India.
Esta prueba de concepto muestra cómo se podría explotar la falla:
https://youtube.com/watch?v=8UvTzepHUFA%3F
Uber tiene un programa de recompensas para investigadores de seguridad que paga entre $ 100 y $ 10,000 por error descubierto, dependiendo de la gravedad. Según CS Monitor , Anand Prakash ha ganado $ 15,000 por informar una vulnerabilidad a Facebook , y se ha embolsado más de $ 200,000 de compañías como Twitter , Google , eBay y Dropbox .