Anand Prakash, seorang peretas topi putih dan peneliti keamanan digital, telah menemukan bug tersebut bulan Agustus 2016 lalu dan telah mendapat izin dari Uber untuk mengujinya di Amerika Serikat dan India. Dia berhasil mengeksploitasi bug tersebut, dan mendapat “gratis perjalanan” di kedua negara.
Menurut programer komputer yang memiliki sebuah blog tentang keamanan IT tersebut, mengeksploitasi loophole untuk mendapat tumpangan gratis tersebut tak sulit.
Prakash telah melaporkan masalah ini melalui program bug bounty Uber, dan menerima hadiah uang karena menemukan dan melaporkan kelemahan dalam keamanan aplikasi tersebut. Seperti halnya Uber, banyak perusahaan digital yang mengadakan program serupa untuk meningkatkan keamanan produknya. Uang yang bisa diterima hacker sebagai hadiah berkisar antara $100-$10.000 (setara dengan Rp1,3 juta hingga Rp133 juta) tergantung keparahan bug tersebut dan bagaimana dampaknya kepada pengguna layanan.
Untuk melakukan peretasan dan mereplikasi bug tersebut memang tak semudah yang dibayangkan. Anda harus tahu mengenai scripting dan coding, namun kini Uber telah meningkatkan keamanan sehingga kecacatan tersebut tidak bisa lagi diutak-atik.
Uber telah memperbaiki bug tersebut pada hari yang sama ketika Prakash melaporkannya, dan telah membayar peretas tersebut dengan uang sejumlah $5000 (setara dengan Rp66 juta). Namun Prakash baru muka mulut tentang bug tersebut minggu ini. Sejauh ini, Prakash telah mendapat hadiah uang sebesar $13.500 (sekitar Rp180 juta) dari Uber untuk berbagai pelaporan yang dilakukannya.
“Para peretas bisa saja menyalahgunakan bug ini untuk menikmati perjalanan gratis tak terbatas dengan akun Uber mereka,” katanya dalam sebuah postingan blog.
Bug tersebut mulai bekerja ketika aplikasi meminta pengguna menentukan metode pembayaran. Prakash menunjukkan cara kerjanya dalam sebuah video, dimana dia menunjukkan kode pembayaran yang tidak valid yang dinyatakan dalam kumpulan karakters sederhana seperti “abc” atau “xyz” yang memungkinkannya untuk menumpang Uber tanpa bayar.
Sementara itu, Uber menyatakan sangat mengapresiasi laporan dari para hacker dalam program bounty-nya.
“Bug bounty program di Uber bekerjasama dengan para peneliti keamanan digital di seluruh dunia untuk memperbaiki bug, walaupun beberapa di antara bug tersebut tidak berdampak langsung dengan pengguna. Kami sangat mengapresiasi kontribusi rutin Anand dan sangat gembira bisa memberinya penghargaan untuk laporannya,” kata juru bicara Uber.
Prakash saat ini berada di ranking 14 di program bug bounty Uber, dan telah sering melaporkan bug untuk beberapa perusahaan seperti Facebook, dimana dia dianggap sebagai peretas topi putih papan atas.
Lihat video yang diunggah Prakash di sini.