Az egyéb botrányok miatt is komolyan célkeresztbe került Uber most újabb presztízsveszteséget volt kénytelen elszenvedni: egy ismert hibavadász biztonsági kutató rést talált az alkalmazásukban, mely lehetővé tette a felhasználók számára, hogy fizetés nélkül vegyék igénybe a szolgáltatást – a hibát már javították, a szakember csak az után számolt be sérülékenységről, hogy az Uber a figyelmeztetése után frissítette a szoftvert.
Anand Prakash rövid blogbejegyzésben ismertette a hibát, mely valójában igen egyszerű sebezhetőség volt: az Uber felhasználójának az utazás előtt meg kell adnia, hogy milyen módon kíván fizetni, ám ha az illető létrehozott egy olyan fiókot, ahol érvénytelen adatokat adott meg payment_method_id-nál (pl. „xyz”), akkor úgy tudott utazni, hogy nem kellett fizetnie:
POST /api/dial/v2/requests HTTP/1.1
Host: dial.uber.com
{"start_latitude":12.925151699999999,"start_longitude":77.6657536,
"product_id":"db6779d6-d8da-479f-8ac7-8068f4dade6f","payment_method_id":"xyz"}
Prakash készített egy proof-of concept videót is, és leírta, hogy Indiában és az USA-ban is kipróbálta, és működött.
smert
A sérülékenységet jelezte az Uber hibabejelentő programjában, és ők gyorsan kijavították – ezért a szakember köszönetet is mond –, a bejelentésért pedig 900 dollár fizettek.