Uber 在获悉该情况后,立即组织安全专家普拉卡什等人在美国和印度两地对该漏洞展开测试。测试结果正如预期:利用该漏洞,普拉卡什成功在两地免费使用了 Uber 共乘服务。
此次公布的安全漏洞在去年 8 月份发现并及时得到修复,但普拉卡什直至本周才将其公之于众。“利用该漏洞,攻击者可以使用自己的 Uber 账户进行无限制的免费乘坐,”普拉卡什在一篇博客中描述该漏洞时表示。普拉卡什甚至发布了一小段视频,演示如何利用 Uber 漏洞进行免费坐乘。
Uber 公司一位发言人对此表示:“Uber 设置的‘漏洞赏金’项目,旨在与全球安全研究人员共同修复安全漏洞,即使这些漏洞没有直接影响到我们的客户。我们感谢阿南德的持续贡献,对他提交的卓越报告,我们乐于对其进行奖励。”在 Uber 的“漏洞赏金”项目排名中,普拉卡什排第 14 位。据悉,除 Uber 外,普拉卡什还经常向 Twitter、雅虎等其他公司提交漏洞报告。
文章评论