Ezzel a hibával mindenki ingyen uberezhetett volna

​Az Uber egy olyan sebezhetőséget szüntetett meg, amelynek kihasználásával bárki ingyen utazhatott volna.
 

Az Ubernek is van egy olyan jutalmazási programja, amelyen keresztül sebezhetőségeket lehet jelezni, és veszélyes biztonsági problémák feltárása esetén még pénzt is lehet ilyen módon keresni. Ebbe a programba nevezett be az az indiai Anand Prakash nevű kutató is, aki egy érdekes sérülékenységet tárt fel az Uber rendszerében.
 
A biztonsági hiba kihasználásával elérhetővé vált, hogy a mobil alkalmazáson keresztül megrendelt utat nem kellett kifizetni. Mindehhez ráadásul mindössze egy paramétert kellett módosítani, és akár ingyenesen elérhető eszközökkel is kivitelezhető volt a manipuláció.
 
A szakember arra jött rá, hogy ha a dial.uber.com címre küldött (POST) kérésben lévő fizetési módhoz tartozó azonosítót megváltoztatja (például "xyz"-re), akkor egész egyszerűen ingyenessé válik az út. A támadáshoz elegendő volt egy Burp Suite szoftver is, amellyel az adatforgalmat kénye kedve szerint tudta alakítgatni.
 
A biztonsági rés demonstrálásához először engedélyt kért az Ubertől, majd élesben is igazolhatta a hiba létezését. Ezt követően az Uber egy napon belül befoltozta a biztonsági rést, így ezzel a trükkel már nem lehet díjmentesen furikázni.
 
A sebezhetőségre még tavaly augusztusban lett figyelmes a biztonsági kutató, de csak most hozta nyilvánosságra a felfedezését. A biztonsági hiba feltárásáért és az etikus közreműködéséért ötezer dollár jutalomban részesítette az Uber.