Uber 雖然已經跟台灣消費者說 Bye Bye 了,但其實只要出國到有 Uber 服務的地區仍然搭得到這些引起世界話題的叫車服務。最近有媒體報導 Uber 居然有個安全性漏洞,可以讓有心人搭霸王車不用付錢。聽起來超好康,但真的有用嗎?

這個漏洞其實存在了一段時間,在 2016 年 8 月被發現,但這個禮拜大家才知道這個消息,不禁猜想中間某些有心人決定快樂的坐霸王車而不希望這個漏洞太早被堵起來。然而事情不是大家想的這麼簡單。

在 2016 年 8 月,一個電腦安全專家 Anand Prakash 發現了免費搭車漏洞,並第一時間透過 Uber 內部的「漏洞獎金」告知 Uber,希望 Uber 能夠注意到問題,Uber 也第一時間召集安全專家,包括發現漏洞的 Anand Prakash 在內,一起找出問題解決方案。依照Anand Prakash  在美國與印度的測試,證實該漏洞的確可以在兩地免費使用 Uber 乘車服務。

UBER 被發現可以讓乘客搭霸王車的漏洞,發現者將獲得 5000 美元的獎金

Anand Prakash 在 Uber 的 漏洞獎金計劃中排名 14,並經常向其他公司提出錯誤報告,例如 Facebook,在多數科技公司眼中,他也是一個頂級的駭客。他透過自己的 Blog 警告 Uber,這個漏洞的嚴重性可能導致有心的使用者長期乘坐霸王車,造成 Uber 或合作司機的損失。

Anand Prakash 甚至透過影片來演示這個漏洞如何被使用。首先消費者在 Uber.com 註冊帳號,開始叫車,當到達目的地時,Uber 的軟體讓消費者選擇支付費用的方式,使用者可以設定一個無效的支付方式,像是輸入無效的卡號或數字,就可以免費搭乘這趟 Uber 而不用花錢。

透過這次的漏洞,Anand Prakash 將獲得 Uber 於 2016 年 3 月設立的漏洞獎金計畫中獲取一筆不小的金額。據了解,漏洞獎金計畫針對找到漏洞的發現者提供獎金,如果是破壞 Uber 官網、暴露消費者資訊的漏洞可以獲得五千美元,如果找到可以接管 Uber 帳號甚至在 Server 上執行惡意程式碼的漏洞,可獲得一萬美元獎金。現階段 Uber 已經有 200 名安全研究人員,專門負責找尋可能會被利用的安全漏洞,所以就算看到這篇消息想試試能不能搭免錢 Uber ,這招也已經失效囉!

閱讀全文