Uber Hack让任何人都能找到免费Uber游戏的无限促销代码

穆罕默德·M·福阿德发现了一个推广码暴力攻击“Uber注册邀请链接中存在漏洞，允许任何用户邀请其他用户加入该服务，并根据促销代码值获得一次或多次免费乘车。

福阿德意识到Uber应用程序没有任何针对暴力攻击的保护，因此他可以生成促销代码(以“优步+代码名”开头)直到他找到了有效的。
暴力尝试帮助福阿德找到了数个有效的促销代码，价值在5000美元到25000美元之间，这将帮助他获得一到三次免费乘车。
Fouad还提供了一个视频演示，作为概念证明，展示了工作中的暴力攻击。您可以观看以下视频：
6月中旬还发现了另一个漏洞，允许攻击者在不与新用户注册的情况下使用促销代码。

优步团队拒绝修补该漏洞

作为一名负责任的安全研究员，福阿德还多次向优步安全团队报告了该关键漏洞，但该公司不接受他的漏洞报告，并认为该漏洞超出了范围。

Fouad告诉《黑客新闻》：“我在三个月前报告了这个漏洞，我不是唯一一个报告它的人”。“他们的回复总是超出范围，被视为欺诈，我们必须将此错误发送给欺诈团队”。

另一位名叫阿里·卡比尔（Ali Kabeel）的安全研究人员也报告了同样的缺陷，但存在于骑手身上。优步。com/profile URL代码定制功能。他还得到了优步团队的同样回应，即该漏洞超出了范围。

尽管该公司通过应用利率限制修复了支付页面中的暴力漏洞，但应用程序的上述两个方面仍然存在漏洞，这可能会导致许多欺诈事件。