Tuy nhiên hacker mũ trắng này đã thông báo lên cho Uber để sửa chữa lỗi và nhận thưởng trị giá 13.000 USD.

Tuy nhiên hacker mũ trắng này đã thông báo lên cho Uber để sửa chữa lỗi và nhận thưởng trị giá 13.000 USD.

Anand Prakash, một kỹ sư bảo mật sản phẩm, đã hé lộ một mẹo đơn giản mà anh dùng để đi Uber miễn phí ở bất kỳ nơi nào trên thế giới.

Lập trình viên này, là chủ sở hữu của một trang blog về an ninh mạng, giải thích rằng việc khai thác lỗ hổng này hết sức đơn giản.

“Tôi đã thử nghiệm ứng dụng trên điện thoại của Uber để xem nó có lỗi bảo mật nào không,” anh giải thích. “Đây là cách mà tôi tìm ra nó. Thật sự rất dễ làm.”

“Kẻ gian đã có thể lợi dụng điều này để đi Uber miễn phí bằng tài khoản Uber của họ.”

Khi gọi một chiếc xe đến đón mình, Prakash đã có thể “trốn” việc trả tiền cho chủ xe bằng cách thay đổi hình thức thanh toán của mình trong tài khoản bằng một cái tên không có giá trị [Người dùng Uber có thể sử dụng tiền mặt ở một vài thành phố.

“Người gọi xe có thể tại tài khoản của mình trên trang Uber.com và bắt đầu đi xe được. Khi đến địa điểm cuối, họ có thể trả bằng tiền mặt hoặc trừ tiền vào thẻ tín dụng/thẻ ngân hàng,” anh nói.

“Tuy nhiên thay thế đoạn code của phương thức thanh toán thành một cái tên không có thực, ví dụ như abc, xyz,… tôi có thể đi Uber hoàn toàn không mất tiền.”

Sau khi phát hiện ra lỗ hổng này, hiện đã được vá lỗi kịp thời, vào thág 8 năm ngoái, Prakash đã báo cáo lên Uber và nhận thưởng thông quan chương trình tìm bug của hệ thống này.

“Để chứng minh lỗi này là có thực, tôi đã xin phép từ công ty Uber và đi taxi miễn phí tại Mỹ và Ấn Độ và tôi không bị trừ tiền vào bất cứ tài khoản nào của mình,” anh cho biết.

Đội ngũ bảo mật của Uber bao gồm 200 nhà nghiên cứu chuyên ngành an ninh mạng, có nhiệm vụ tìm ra những bug có thể bị những tên tin tặc tận dụng, và công ty này sẵn sàng trả cho họ 10.000 USD nếu như phát hiện ra một lỗi.

Prakash nói rằng anh tìm lỗ hổng bảo mật để kiếm sống và tính đến thời điểm này đã nhận được tới 13.500 USD từ chương trình của Uber.

Trước kia, anh cũng đã từng trở nên hết sức nổi tiếng vì đã chỉ ra cách chiếm quyền kiểm soát của bất kỳ tài khoản Facebook nào và đổi mật khẩu một cách dễ dàng. Hiện Prakash là một trong những cái tên đứng đầu trong danh sách những hacker mũ trắng tham gia vào chương trình an ninh của mạng xã hội lớn nhất thế giới kia.

Cách hack Uber đã bị sửa chữa

“Kể cả có trong tay nhóm chuyên gia kỹ năng cao và được đào tạo bài bản nhất, bạn vẫn cần có cái nhìn từ bên ngoài để cải thiện chất lượng sản phẩm,” Joe Sullivan, Giám đốc An ninh của Uber, chia sẻ vào hồi năm ngoái.

“Chương trình tìm bug trao thưởng này sẽ đảm bảo rằng mã nguồn của chúng tôi được đảm bảo an toàn nhất có thể.”

Theo Tuấn Hưng (Trí Thức Trẻ)