Uberは、ある研究者が発見した料金を払わずに乗車できるバグを修正していた。
セキュリティー研究員のAnand Prakashは昨年8月にこのバグを発見し、Uberの許可を得て米国とインドでテストを行った。彼はバグの利用に成功しどちらの国でも無料で乗車することができた。
Prakashはこの問題をUberのバグ探し懸賞プログラムの中で報告した。セキュリティー脆弱性を見つけたハッカーに賞金を贈る制度だ。多くのIT企業が自社製品のセキュリティー強化のために懸賞プログラムを利用している。Uberではバグの重大度とユーザーへの影響度に応じて100ドルから1万ドルを支払っている。UberはPrakashが報告したその日にバグを修正して5000ドルを払ったが、Prakashは今週まで待ってバグの話題を公表した。
「アタッカーはこれを悪用して無限にタダ乗りすることが可能だった」とPrakashはこの件を説明したブログ記事に書いている。
バグが起きたのは支払い方法を指定する時だった。Prakashは再現ビデオの中で、無効な支払い方法として”abc”や”xyz”等の短い文字列を指定すると乗車しても請求されないことを示している。
「Uberのバグ懸賞プログラムでは世界中のセキュリティー研究者の協力を得てバグを修正している。直接ユーザーに影響をえないバグも対象だ。Anandの協力には感謝している。すばらしい報告に対して賞金を贈ることができて光栄だ」とUber広報担当者は言った。
PrakashはUberのバグ懸賞ランキングで14位につけている。他の会社にもバグレポートを送っていて、Facebookでも上位ランクのハッカーだ。
[原文へ]
(翻訳:Nob Takahashi / facebook)
