Sécurité

Échec autorisé pour les courses libres à Uber

Un échec à Uber a permis aux utilisateurs de faire la course sans rien payer. La vulnérabilité a été découverte par le chercheur en sécurité indien Anand Prakash, qui a gagné une récompense de 5 000 euros dans le cadre du programme de lutte contre les bugs du service de transport.

Le bogue est l’un de ceux qui provoquent le sentiment que personne n’y a vraiment pensé en écrivant le code. En gros, Prakash a pu demander une course et, sur demande, échanger le mode de paiement contre quelque chose d’invalide – au lieu d’une carte de crédit – quelque chose comme “xyz”. Comme Uber ne pouvait pas faire payer, la course était gratuite pour l’utilisateur.

Le problème a été découvert par le chercheur en août 2016 et corrigé par Uber le même jour, mais Prakash a décidé de publier les détails sur son blog seulement la semaine dernière. Il a obtenu la permission de l’équipe de sécurité d’Uber pour tester la faille et a pu commander des courses sans rien payer aux États-Unis et en Inde.

  Le nouveau modèle de montre intelligente Pebble a un bracelet en métal et en verre Gorilla Glass

Cette preuve de concept montre comment la faute pourrait être exploitée :

Uber a un programme de récompenses pour les chercheurs en sécurité qui paie entre 100 et 10 000 euros par bogue découvert, selon la gravité. Selon CS Monitor, Anand Prakash a gagné jusqu’à 15 000 euros pour avoir signalé une seule vulnérabilité sur Facebook ? et a déjà empoché plus de 200 000 euros auprès d’entreprises comme Twitter, Google, eBay et Dropbox.

A propos de l'auteur

Véronique

La trentaine, maman de deux petits monstres de 10 ans. Je pèse chaque jour le pour et le contre dans l'utilisation des écrans pour mes bambins !
J'écris souvent depuis les transports en commun (#teamTablette).

Laisser un commentaire