Las start-ups tecnológicas gastan millones de dólares para encontrar los bugs de sus apps, pero a veces ni eso es suficiente.
Uber, la compañía de conductores privados que se ha convertido en alternativa al taxi, dispone de un plantilla de 200 expertos en seguridad dedicados únicamente a buscar bugs y exploits que pongan en peligro la información privada y de cobro de sus clientes.
Estos 200 expertos no fueron capaces de encontrar un bug de seguridad que sí localizó un hacker indio. Este bug permitía viajar gratis con Uber en cualquier lugar del mundo, sin limitaciones. Por suerte Anand Prakash es un hacker honesto, un experto en seguridad que se gana la vida encontrando bugs en aplicaciones de terceros y cobrando recompensas por ello. Avisó inmediatamente a Uber y ha cobrado una recompensa de 10.000 dólares.
El hacker descubrió un loophole en el código de la app de Uber que ocasionaba un fallo al introducir un tipo de pago erróneo en la app, por ejemplo abc, xyz, etc. En ese momento se podía alterar para conseguir el viaje sin pagar.
Anand Prakash comunicó el fallo a Uber, y ya lo ha corregido en su última actualización. No es la primera recompensa que este hacker recibe de Uber, que ya le ha pagado 13.500 dólares. En lugar de comprometerse con una empresa prefiere trabajar como cazabugs, y cobrar por ello. También descubrió un fallo similar que permitía pedir pizzas Domino completamente gratis, y otro por el que se podía cambiar la contraseña de Facebook de forma externa.
No es un mal negocio: otros expertos cobran un sueldo independientemente de los bugs que encuentren, mientras que Anand Prakash gana recompensas muy suculentas por un solo bug. Pero para ello hay que ser un hacker experto capaz de encontrar fallos que equipos de seguridad formados por cientos de informáticos no son capaces de descubrir.
Fuente:https://computerhoy.com/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad