На сайте Uber нашли уязвимость, позволявшую ездить бесплатно

Энтузиаст обнаружил в работе сайта Uber ошибку, позволявшую совершать бесплатные поездки. Ананд Пракаш (Anand Prakash) успешно протестировал уязвимость в США и Индии. Компания уже исправила ошибку и выплатила пользователю сервиса вознаграждение. Об этом сообщает Techcrunch.

Пракаш описал историю обнаружения уязвимости Uber в своём блоге. По его словам, ошибкой мог воспользоваться абсолютно любой пользователь сервиса.

Уязвимость заключалась в коде на официальном сайте компании. Пользователю было достаточно поменять метод оплаты поездки (payment_method_id) — наличными деньгами или средствами с кредитной карты — на заведомо неверный. В качестве примера Пракаш привёл комбинации abc и xyz. Он также опубликовал видео с демонстрацией ошибки.

Как отмечает Techcrunch, Пракаш нашёл уязвимость в августе 2016 года, после чего сообщил о ней в компанию. Uber уже поправил баг, но обязал специалиста не публиковать информацию до начала марта 2017 года.

Пракаш получил от Uber 5 тысяч долларов в рамках поощрения за выявление ошибок в работе приложений и сайта компании. Энтузиаст занимает 14 место в рейтинге участников этой программы, а также регулярно выявляет ошибки у Facebook.