Un bug dans Uber rend gratuites les courses

Uber a du mal avec son informatique ces temps-ci. Nous nous faisions l’écho de l’aveu de la start-up d’avoir créé une solution pour éviter les contrôles de ses chauffeurs. L’outil baptisé Greyball était intégré à l’application de la firme. Il permet de faire apparaître des véhicules fantômes, ou de faire disparaître des véhicules réels, aux yeux de certains utilisateurs.

La firme américaine vient également de corriger un bug dans son système de réservation. En effet, un chercheur, Anand Prakash, a déniché un bug original via le programme de Bug Bounty lancé par Uber. Il a eu le droit de tester la pertinence de cette faille en Inde et aux Etats-Unis. Avec succès.

Un autre moyen de paiement bidon

Et le bug découvert semble trivial, mais la finalité était purement et simplement de faire des courses gratuites. Le problème provient du mode de paiement demandé par Uber.com. Le spécialiste détaille son exploit dans un blog. Il s’est donc inscrit sur le site et a rempli une demande de trajet. Une fois les différents renseignements complétés, Uber propose plusieurs moyens de paiement, en espèce ou par différentes cartes. Mais en analysant le code d’Uber.com, le chercheur a découvert qu’il pouvait ajouter un autre moyen de paiement bidon. « En spécifiant une fausse méthode de paiement de type abc ou xyz, je pouvais faire des trajets avec Uber gratuitement », souligne l’expert.

Dans le cadre du Bug Bounty, Anand Prakash a été récompensé pour sa découverte. Uber a décidé de lui verser 5000 dollars. « Nous apprécions les contributions continues d’Anand et nous sommes heureux de le récompenser pour son excellent rapport », a expliqué un porte-parole d’Uber. Le chercheur a attendu que la start-up corrige ce bug avant de publier sa méthode et se faire de la publicité au passage sur ses qualités de chercheur de failles.

Uber cesse ses tests de voitures autonomes en Californie