(原标题:安全专家发现 Uber 可免费打车的漏洞,但别高兴太早)
本文作者:李勤
导语:Uber上存在一个安全漏洞,只要是发现这一漏洞的任何用户都可以在全球各地免费乘坐Uber后直接走人。
最近,据外媒报道,Uber上存在一个安全漏洞,只要是发现这一漏洞的任何用户都可以在全球各地免费乘坐Uber后直接走人。不过,那些想着利用漏洞逃单的人不用高兴,现在Uber已经成功修复了这一漏洞。
这一漏洞是在2016年8月被发现的,但是直至本周才被公之于众。
去年8月,电脑安全专家阿南德·普拉卡什(Anand Prakash)首先发现了这一漏洞,并通过Uber公司的“漏洞赏金”项目告知对方。Uber在获悉该情况后,立即组织安全专家普拉卡什等人在美国和印度两地对该漏洞展开测试。测试结果表明,利用该漏洞,可以成功在两地免费使用Uber共乘服务。
普拉卡什甚至发布了一小段视频,演示如何利用Uber漏洞进行免费坐乘。
具体操作是这样的:
雷锋网(公众号:雷锋网)了解到,用户可以在Uber.com建立账户,然后开始打车。当乘载服务结束的时候,Uber让 用户选择支付方式,用户可以用现金进行支付,或用信用卡或借记卡来付账。只需设定一个无效的支付方式,例如输入abc或xyz等字样,就可以免费搭乘Uber。
2016年3月,Uber发布了漏洞赏金项目,在Uber的应用和网页中找到漏洞的独立安全研究人员可以获得数千美元的奖金。这也使得Uber成了最新一家采用众包模式审核代码来对抗恶意黑客的科技巨头。
找到一个可以破坏Uber主页或暴露用户邮箱的漏洞奖励5000美元,而找到一个可以完全接管Uber账号或者可以在Uber的执行服务器上运行恶意代码的漏洞则能获得1万美元的奖金。
现在Uber也已有200名安全研究人员负责寻找可能会被黑客利用的安全漏洞。