Uber oferuje hakerom nagrodę w wysokości 10 000 $ za znalezienie błędów w swojej aplikacji

Uber jest oczywistym zwolennikiem ekonomii gig: używanie freelancerów pomogło firmie stać się jedną z najpopularniejszych metod transportu. A dziś Uber ogłosił, że preferuje freelancerów w sektorze bezpieczeństwa swojej firmy.

Uber udostępnił publicznie program „bug bounty”, który oferuje hakerom pieniądze z białych kapeluszy za projekt, aby znaleźć nawet najmniejsze błędy w oprogramowaniu firmy. Aby podnieść emocje, dołączyli przyciągającą wzrok wypłatę do 10 000 USD.

„Nawet z zespołem wysoko wykwalifikowanych i dobrze wyszkolonych ekspertów ds. Bezpieczeństwa, musisz stale poszukiwać sposobów na poprawę”, powiedział Joe Sullivan, dyrektor ds. Bezpieczeństwa. „Ten program nagród za błędy pomoże zapewnić, że nasz kod jest tak bezpieczny, jak to możliwe. Nasz unikalny program lojalnościowy zachęci społeczność bezpieczeństwa do stania się ekspertem w dziedzinie Uber. ”

Aby to zrobić, Uber nawiązał współpracę z firmą HackerOne, która „nagradza przyjaznych hakerów, którzy przyczyniają się do zwiększenia bezpieczeństwa Internetu”. HackerOne ma radę doradców, od szefa ds. Bezpieczeństwa Tesli, Chrisa Evansa, do inżyniera bezpieczeństwa Google'a Kosty Kortchinsky'ego.

Uber próbuje zatrzymać hakerów, tak jak firma lotnicza zachowuje ulotki z „pierwszym w swoim rodzaju programem lojalnościowym”. Począwszy od 1 maja, łowcy nagród za błędy mają 90 dni na znalezienie więcej niż czterech błędów certyfikowanych przez Ubera. Zaczynając od piątego błędu, Uber zarzuci dodatkową 10-procentową wypłatę premii za każdy nowy błąd.

Firma obiecała przyzwoitą przejrzystość, aby pomóc hakerom szybciej dotrzeć do sedna problemów dzięki „mapie skarbów”. Mapa skarbów próbuje spełnić swoją nazwę, wymieniając układy Uber i oferując różne wskazówki dotyczące wejścia w głąb firmy znaleźć nawet najbardziej subtelne błędy, które mogą czaić się w programowaniu.

Chociaż mapa skarbów może być ekscytująca dla ludzi, którzy chcą zarobić na grosze firmy, może to być ekscytujące dla hakerów czarnych kapeluszy z bardziej nikczemnymi zamiarami. Ale Uber upiera się, że nie rezygnuje z żadnych informacji, które nie są już dostępne publicznie, po prostu udostępnia te informacje w otwartej przestrzeni, aby każdy mógł je łatwiej znaleźć. Oprócz samej aplikacji mapa skarbów wyjaśnia, na co zwracać uwagę na stronach jeźdźców, deweloperów, partnerów, firm i skarbców. Ta ostatnia może szczególnie przykuć uwagę, ponieważ to tam przechowywane są informacje bankowe i numery identyfikacyjne, poufne informacje, które Uber miał problemy z utrzymaniem w zeszłym roku.

Podczas zeszłorocznej prywatnej wersji programu ponad 200 analityków bezpieczeństwa wykryło prawie 100 błędów.

Jeśli Uber dostrzeże ten rodzaj sukcesu od opinii publicznej (a hakerzy zdecydują się nie używać mapy skarbów w celu wykraczającym poza zamierzony cel), może po prostu uniknąć bardziej kłopotliwych problemów z bezpieczeństwem.

Będziemy Cię informować o tym, jakie błędy ujawniają ci hakerzy.

Korekta (3/29/16): W pierwotnej wersji tego artykułu stwierdzono, że HackerOne jest korporacją non-profit, gdy w rzeczywistości jest to firma nastawiona na zysk. Artykuł, który został zredagowany, aby to odzwierciedlić.