根据techmeme消息，Uber最近在其代码中修补了一个大漏洞，此前，有很多乘客曾因为这个漏洞而不支付乘车费用。

　　这个漏洞被一个研究人员发现，之后，越来越多的人也还是逐渐了解。

　　美国安全研究员Anand Prakash在去年8月发现了这个问题。很快他得到了Uber的许可，在美国和印度测试并调查这个漏洞所带来的影响。结果是，他能够成功地利用这个bug，在这两个国家轻松地获得免费乘车。

　　Prakash通过Uber的bug赏金计划报告了这个问题。此前，Uber利用现金奖励黑客查找和报告安全漏洞。这也是许多科技公司都会实行的错误奖励计划，作为加强其产品安全性的一种方式。黑客可以在获得 100 - 10,000美元之间的奖励，具体能够拿到多少钱这取决于bug的严重性，以及它对用户的影响到底有多大。就在Uber修复了免费乘车这个bug的同一天，Prakash拿到了5000美元的bug提交奖金，但Prakash一直在等待，直到本周才公开了Uber的这个bug。

　　“攻击者可能通过这个错误，无限次数地免费乘坐Uber，并滥用这种情况。”他在一篇博客文章中解释这个问题。

　　事实上，这个bug的原理在于指定付款方式时发生错误。 Prakash在概念验证视频中展示了他可以指定一种无效的付款方式，即在付款时只输入一串简单的字符串(如“abc”或“xyz”表示)，而不是输入具体的支付金额。

　　“Uber的bug赏金计划与世界各地的安全研究人员合作，修复了不少的错误，即使其中的有一些并不直接影响我们的用户。 我们赞赏Anand的持续贡献。”Uber的一名发言人说。

　　Prakash在Uber的bug赏金计划中排名第14，并经常向其他公司提交错误报告，如Facebook，在那里他也是一个顶级的黑客。