这是一条价值5000美元的Uber免费乘车bug
根据techmeme消息,Uber最近在其代码中修补了一个大漏洞,此前,有很多乘客曾因为这个漏洞而不支付乘车费用。
这个漏洞被一个研究人员发现,之后,越来越多的人也还是逐渐了解。
美国安全研究员Anand Prakash在去年8月发现了这个问题。很快他得到了Uber的许可,在美国和印度测试并调查这个漏洞所带来的影响。结果是,他能够成功地利用这个bug,在这两个国家轻松地获得免费乘车。
Prakash通过Uber的bug赏金计划报告了这个问题。此前,Uber利用现金奖励黑客查找和报告安全漏洞。这也是许多科技公司都会实行的错误奖励计划,作为加强其产品安全性的一种方式。黑客可以在获得 100 - 10,000美元之间的奖励,具体能够拿到多少钱这取决于bug的严重性,以及它对用户的影响到底有多大。就在Uber修复了免费乘车这个bug的同一天,Prakash拿到了5000美元的bug提交奖金,但Prakash一直在等待,直到本周才公开了Uber的这个bug。
“攻击者可能通过这个错误,无限次数地免费乘坐Uber,并滥用这种情况。”他在一篇博客文章中解释这个问题。
事实上,这个bug的原理在于指定付款方式时发生错误。 Prakash在概念验证视频中展示了他可以指定一种无效的付款方式,即在付款时只输入一串简单的字符串(如“abc”或“xyz”表示),而不是输入具体的支付金额。
“Uber的bug赏金计划与世界各地的安全研究人员合作,修复了不少的错误,即使其中的有一些并不直接影响我们的用户。 我们赞赏Anand的持续贡献。”Uber的一名发言人说。
Prakash在Uber的bug赏金计划中排名第14,并经常向其他公司提交错误报告,如Facebook,在那里他也是一个顶级的黑客。
声明:OurSeo登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,请读者仅作参考,并请自行核实相关内容。如有侵权请联系我们,会及时删除,如若转载请注明出处。