Un échec à Uber a permis aux utilisateurs de faire la course sans rien payer. La vulnérabilité a été découverte par le chercheur en sécurité indien Anand Prakash, qui a gagné une récompense de 5 000 euros dans le cadre du programme de lutte contre les bugs du service de transport.
Le bogue est l’un de ceux qui provoquent le sentiment que personne n’y a vraiment pensé en écrivant le code. En gros, Prakash a pu demander une course et, sur demande, échanger le mode de paiement contre quelque chose d’invalide – au lieu d’une carte de crédit – quelque chose comme “xyz”. Comme Uber ne pouvait pas faire payer, la course était gratuite pour l’utilisateur.
Le problème a été découvert par le chercheur en août 2016 et corrigé par Uber le même jour, mais Prakash a décidé de publier les détails sur son blog seulement la semaine dernière. Il a obtenu la permission de l’équipe de sécurité d’Uber pour tester la faille et a pu commander des courses sans rien payer aux États-Unis et en Inde.
Cette preuve de concept montre comment la faute pourrait être exploitée :
Uber a un programme de récompenses pour les chercheurs en sécurité qui paie entre 100 et 10 000 euros par bogue découvert, selon la gravité. Selon CS Monitor, Anand Prakash a gagné jusqu’à 15 000 euros pour avoir signalé une seule vulnérabilité sur Facebook ? et a déjà empoché plus de 200 000 euros auprès d’entreprises comme Twitter, Google, eBay et Dropbox.