Pour gérer vos consentements :

Un bug dans Uber rend gratuites les courses

Uber a du mal avec son informatique ces temps-ci. Nous nous faisions l’écho de l’aveu de la start-up d’avoir créé une solution pour éviter les contrôles de ses chauffeurs. L’outil baptisé Greyball était intégré à l’application de la firme. Il permet de faire apparaître des véhicules fantômes, ou de faire disparaître des véhicules réels, aux yeux de certains utilisateurs.

La firme américaine vient également de corriger un bug dans son système de réservation. En effet, un chercheur, Anand Prakash, a déniché un bug original via le programme de Bug Bounty lancé par Uber. Il a eu le droit de tester la pertinence de cette faille en Inde et aux Etats-Unis. Avec succès.

Un autre moyen de paiement bidon

Et le bug découvert semble trivial, mais la finalité était purement et simplement de faire des courses gratuites. Le problème provient du mode de paiement demandé par Uber.com. Le spécialiste détaille son exploit dans un blog. Il s’est donc inscrit sur le site et a rempli une demande de trajet. Une fois les différents renseignements complétés, Uber propose plusieurs moyens de paiement, en espèce ou par différentes cartes. Mais en analysant le code d’Uber.com, le chercheur a découvert qu’il pouvait ajouter un autre moyen de paiement bidon. « En spécifiant une fausse méthode de paiement de type abc ou xyz, je pouvais faire des trajets avec Uber gratuitement », souligne l’expert.

Dans le cadre du Bug Bounty, Anand Prakash a été récompensé pour sa découverte. Uber a décidé de lui verser 5000 dollars. « Nous apprécions les contributions continues d’Anand et nous sommes heureux de le récompenser pour son excellent rapport », a expliqué un porte-parole d’Uber. Le chercheur a attendu que la start-up corrige ce bug avant de publier sa méthode et se faire de la publicité au passage sur ses qualités de chercheur de failles.

A lire aussi :

Movement : Uber ouvre la porte à l’Open Data

Uber cesse ses tests de voitures autonomes en Californie

Recent Posts

Guardia Cybersecurity School prépare sa rentrée avec CGI

Guardia CS, nouvel acteur sur le marché de la formation cyber post-bac en France, ajoute…

3 heures ago

Apple répond à l’épisode Pegasus avec un « mode isolement »

Apple intègre à la bêta d'iOS un « mode isolement » optionnel qui restreint les…

3 heures ago

IBM acquiert Databand.ai : de la data quality à l’observabilité des données ?

Data quality ou « observabilité des données » ? IBM préfère le second terme pour…

5 heures ago

Cybersécurité : la Cnil met les collectivités face à leurs responsabilités

La Cnil adresse une forme de rappel à l'ordre aux collectivités territoriales en matière de…

7 heures ago

Bug Bounty : le Pentagone s’offre (encore) les services de hackers

Six ans après son premier bug bounty, le Département de la défense des Etats-Unis lance…

21 heures ago

Typosquatting de dépendances : gare à cette pratique résiduelle

Des chercheurs attirent l'attention sur une campagne de diffusion de code malveillant par l'intermédiaire de…

1 jour ago