黑客发现Uber漏洞可免费坐车 官方现已修复漏洞

37分钟前来源：新浪科技

新浪科技讯 北京时间3月5日午间消息，Uber近日被爆出软件中存在一个允许乘客不付费乘坐Uber的漏洞，Uber随后在其代码中修复了这个错误。

安全研究员Anand Prakash在8月发现了这个错误，并得到了Uber的许可，在美国和印度测试这个漏洞。他成功地利用这个bug，在这两个地方获得免费的乘坐体验。

Prakash通过Uber的bug赏金计划报告了这个问题。许多科技公司实行“bug奖励计划”，作为加强其产品安全性的一种方式。赏金一般在100到10，000美元之间，主要取决于bug的严重性。 Uber修复了这个漏洞并支付给Prakash5000美元的报酬。但Prakash直到本周才公开了这一bug。

“攻击者可能通过从他们的Uber帐户无限的免费乘坐，滥用这个漏洞。”Prakash在一篇博客文章中解释这个问题。

这一漏洞在某一付款方式下才会发生错误。 Prakash在一段视频中展示了这种方法。他可以指定一种无效的付款方式，输入一串简单的字符串（如“abc”或“xyz”），这样就可以不需要支付费用。

Uber现已修复了该漏洞。（边策）