Uberは、ある研究者が発見した料金を払わずに乗車できるバグを修正していた。
セキュリティー研究員のAnand Prakashは昨年8月にこのバグを発見し、Uberの許可を得て米国とインドでテストを行った。彼はバグの利用に成功しどちらの国でも無料で乗車することができた。
Prakashはこの問題をUberのバグ探し懸賞プログラムの中で報告した。セキュリティー脆弱性を見つけたハッカーに賞金を贈る制度だ。多くのIT企業が自社製品のセキュリティー強化のために懸賞プログラムを利用している。Uberではバグの重大度とユーザーへの影響度に応じて100ドルから1万ドルを支払っている。UberはPrakashが報告したその日にバグを修正して5000ドルを払ったが、Prakashは今週まで待ってバグの話題を公表した。
「アタッカーはこれを悪用して無限にタダ乗りすることが可能だった」とPrakashはこの件を説明したブログ記事に書いている。
バグが起きたのは支払い方法を指定する時だった。Prakashは再現ビデオの中で、無効な支払い方法として”abc”や”xyz”等の短い文字列を指投すると乗車しても請求されないことを示している。
関連記事
Yelp、懸賞金付きバグ探しを人材発掘にも活用
HackerOne scores $40 m
スポンサーリンク
Uberには「タダ乗り」できるバグがあった
IT起業ニュース
コメント