最近,据外媒报道,Uber上存在一个安全漏洞,只要是发现这一漏洞的任何用户都可以在全球各地免费乘坐Uber后直接走人。不过,那些想着利用漏洞逃单的人不用高兴,现在 Uber 已经成功修复了这一漏洞。
这一漏洞是在2016年8月被发现的,但是直至本周才被公之于众。
去年 8 月,电脑安全专家阿南德·普拉卡什(Anand Prakash)首先发现了这一漏洞,并通过 Uber 公司的“漏洞赏金”项目告知对方。Uber 在获悉该情况后,立即组织安全专家普拉卡什等人在美国和印度两地对该漏洞展开测试。测试结果表明,利用该漏洞,可以成功在两地免费使用 Uber 共乘服务。
普拉卡什甚至发布了一小段视频,演示如何利用 Uber 漏洞进行免费坐乘。
具体操作是这样的:
雷锋网(公众号:雷锋网)了解到,用户可以在 Uber.com 建立账户,然后开始打车。当乘载服务结束的时候,Uber让 用户选择支付方式,用户可以用现金进行支付,或用信用卡或借记卡来付账。只需设定一个无效的支付方式,例如输入 abc 或 xyz 等字样,就可以免费搭乘Uber。
2016年3月,Uber 发布了漏洞赏金项目,在 Uber 的应用和网页中找到漏洞的独立安全研究人员可以获得数千美元的奖金。这也使得Uber成了最新一家采用众包模式审核代码来对抗恶意黑客的科技巨头。
找到一个可以破坏 Uber 主页或暴露用户邮箱的漏洞奖励 5000 美元,而找到一个可以完全接管 Uber 账号或者可以在 Uber 的执行服务器上运行恶意代码的漏洞则能获得 1 万美元的奖金。
现在 Uber 也已有 200 名安全研究人员负责寻找可能会被黑客利用的安全漏洞。
本文作者:李勤
本文转自雷锋网禁止二次转载,原文链接