Uber đã vá một lỗ hổng trong các đoạn mã của hệ thống cho phép một nhà nghiên cứu và bất cứ ai phát hiện ra lỗ hổng này có thể thuê xe Uber mà không cần trả tiền.

Nhà nghiên cứu an ninh Anand Prakash đã khám phá ra lỗ hổng này hồi tháng 8 và được Uber cho phép thử nghiệm lỗ hổng tại Mỹ và Ấn Độ. Ông đã khai thác thành công lỗ hổng và kiếm những chuyến xe miễn phí ở cả hai địa điểm trên.

Sau khi phát hiện ra, Prakash đã gửi thông tin về lỗ hổng này tới chương trình săn tiền thường của Uber. Nhiều công ty công nghệ khác cũng mở các chương trình săn tiền thưởng như là một cách để tăng cường khả năng bảo mật cho sản phẩm. Hacker có thể nhận được từ 100 USD – 10.000 USD từ Uber tùy thuộc vào độ nghiêm trọng của lỗ hổng và ảnh hưởng của nó đến khách hàng. Uber đã lập tức vá lỗ hổng này ngay khi ngày ông Prakash gửi báo cáo và thưởng cho ông 5.000 USD, thế nhưng Prakash đã chờ tới tận bây giờ mới công khai thảo luận về lỗ hổng này.

“Các kẻ tấn công nhẽ ra đã có thể sử dụng lỗ hổng để đi Uber thoải mái từ chính tài khoản của mình mà không phải trả tiền”, ông giải thích trong một bài đăng trên blog mô tả về lỗ hổng.

Lỗi xuất hiện khi lựa chọn một phương thức thanh toán cụ thể. Prakash đã quay lại một video bằng chứng chứng tỏ rằng ông có thể lựa chọn một phương thức thanh toán không hợp lệ, bằng cách thêm một chuỗi ký tự như “abc” hay “xyz” và không bị tính tiền chuyến đi.

“Chương trình săn tiền thưởng của Uber hợp tác với các nhà nghiên cứu an ninh trên toàn thế giới để khắc phục lỗi, thậm chí khi chúng không trực tiếp ảnh hưởng đến người sử dụng. Chúng tôi đánh giá cao những đóng góp của Anand và chúng tôi rất vui lòng thưởng cho ông vì một bản báo cáo tuyệt vời”, phát ngôn viên của Uber chia sẻ.

Prakash xếp thứ 14 trong chương trình săn tiền thưởng của Uber, và cũng là người thường báo cáo lỗi lên những công ty khác như Facebook. Ông cũng là một trong số những hacker hàng đầu của Facebook.

H.T. - Kim Duyên - Phạm Văn Thường (Theo Techcrunch)