Uberには「タダ乗り」できるバグがあった

Detail of the driver of a luxury car.

Uberは、ある研究者が発見した料金を払わずに乗車できるバグを修正していた。

セキュリティー研究員のAnand Prakashは昨年8月にこのバグを発見し、Uberの許可を得て米国とインドでテストを行った。彼はバグの利用に成功しどちらの国でも無料で乗車することができた。

Prakashはこの問題をUberのバグ探し懸賞プログラムの中で報告した。セキュリティー脆弱性を見つけたハッカーに賞金を贈る制度だ。多くのIT企業が自社製品のセキュリティー強化のために懸賞プログラムを利用している。Uberではバグの重大度とユーザーへの影響度に応じて100ドルから1万ドルを支払っている。UberはPrakashが報告したその日にバグを修正して5000ドルを払ったが、Prakashは今週まで待ってバグの話題を公表した。

「アタッカーはこれを悪用して無限にタダ乗りすることが可能だった」とPrakashはこの件を説明したブログ記事に書いている。

バグが起きたのは支払い方法を指定する時だった。Prakashは再現ビデオの中で、無効な支払い方法として”abc”や”xyz”等の短い文字列を指定すると乗車しても請求されないことを示している。

「Uberのバグ懸賞プログラムでは世界中のセキュリティー研究者の協力を得てバグを修正している。直接ユーザーに影響をえないバグも対象だ。Anandの協力には感謝している。すばらしい報告に対して賞金を贈ることができて光栄だ」とUber広報担当者は言った。

PrakashはUberのバグ懸賞ランキングで14位につけている。他の会社にもバグレポートを送っていて、Facebookでも上位ランクのハッカーだ。

[原文へ]

(翻訳:Nob Takahashi / facebook

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。