Исследователь в области информационной безопасности Ананд Пракаш обнаружил в коде сайта Uber любопытную ошибку, которая позволяла всем желающим совершать поездки бесплатно.
"Пользователи могут создавать свои аккаунты на сайте Uber.com и совершать поездки. Когда поездка завершена, пользователь может либо заплатить наличными, либо банковской картой. Однако если выбрать неверный способ оплаты, то можно ездить на Uber бесплатно".
Ошибка, по словам Пракаша, заключается в параметре payment_method_id (идентификатор метода оплаты). Если вернуть серверу веб-страницу с неверным значением этого параметра (например, указать произвольный набор символов), то поездка станет бесплатной. Программист отметил, что все эти действия он совершал с разрешения сотрудников Uber и совершил несколько бесплатных поездок. В качестве доказательства Пракаш записал видео.
В настоящее время уязвимость исправлена. Сколько человек успели ей воспользоваться, неизвестно. Ошибка была найдена еще в августе 2016 года, однако Пракаш по договоренности с Uber не имел права публиковать информацию о ней до начала марта 2017 года.