Uber biedt hackers een beloning van $ 10.000 om bugs te vinden in zijn app

$config[ads_kvadrat] not found

Uber free ride bug (fixed by Uber Security team)

Uber free ride bug (fixed by Uber Security team)
Anonim

Uber is een voor de hand liggende voorstander van de gig-economie: het gebruik van freelancers heeft het bedrijf geholpen om een ​​van de meest populaire transportmethoden te worden. En vandaag heeft Uber aangekondigd dat het zijn voorkeur voor freelancers ook in de beveiligingssector van hun bedrijf opdringt.

Uber heeft een 'bugbounty'-programma ter beschikking gesteld dat wit-hat hackers geld biedt voor het vinden van zelfs de kleinste bugs in de software van het bedrijf. En om meer spanning op te bouwen, hebben ze een opvallende uitbetaling van maximaal $ 10.000 in de wacht gesleept.

"Zelfs met een team van hooggekwalificeerde en goed opgeleide beveiligingsexperts, moet je constant op zoek naar manieren om te verbeteren," zei Joe Sullivan, chief security officer, in een verklaring. "Dit bug bounty-programma zal ervoor zorgen dat onze code zo veilig mogelijk is. En ons unieke loyaliteitsprogramma zal de beveiligingsgemeenschap aanmoedigen om experts te worden als het gaat om Uber."

Om dit te doen, werkte Uber samen met HackerOne, een bedrijf dat "vriendelijke hackers die bijdragen aan een veiliger internet" beloont. HackerOne heeft een raad van adviseurs, variërend van Tesla's hoofd beveiliging Chris Evans tot Google beveiligingsingenieur Kostya Kortchinsky.

Uber probeert hackers te behouden, zoals een luchtvaartmaatschappij flyers behoudt met een 'eerste van zijn soort loyaliteitsprogramma'. Vanaf 1 mei hebben bugbounty-jagers 90 dagen om meer dan vier Uber-gecertificeerde bugs te vinden. Beginnend met de vijfde bug, zal Uber een extra bonus van 10 procent bonus betalen voor elke nieuwe bug.

Het bedrijf heeft een behoorlijke hoeveelheid transparantie beloofd om hackers te helpen de problemen sneller op te lossen met een 'schatkaart'. De schatkaart probeert zijn naam waar te maken door Uber-lay-outs te vermelden en verschillende tips te bieden om diep in het bedrijf te komen. om zelfs de meest subtiele fouten te vinden die misschien in de programmering op de loer liggen.

Hoewel de schatkaart spannend kan zijn voor de mensen die op zoek zijn naar geld van het bedrijf, kan het ook spannend zijn voor black-hat hackers met snode bedoelingen. Maar Uber houdt vol dat het geen informatie opgeeft die nog niet beschikbaar is voor het publiek, het zet die informatie gewoon open voor iedereen om het gemakkelijker te vinden. Naast de app zelf, legt de schatkaart uit en vertelt wat te zoeken op de pagina's over renners, ontwikkelaars, partners, bedrijven en kluis. Vooral die laatste kan een oogje in het zeil slaan, want daar worden bankgegevens en nationale ID-nummers opgeslagen, gevoelige informatie dat Uber het vorig jaar moeilijk had om privé te blijven.

Tijdens de privéversie van het programma van vorig jaar vonden meer dan 200 beveiligingsonderzoekers bijna 100 bugs.

Als Uber dat soort succes van het publiek ziet (en hackers besluiten om de schatkaart niet voor meer dan het beoogde doel te gebruiken), kan het misschien nog gênantere beveiligingsproblemen voorkomen.

We houden u op de hoogte van welke bugs deze hackers blootleggen.

Correctie (3/29/16): In de oorspronkelijke versie van dit artikel werd gesteld dat HackerOne een non-profitbedrijf was, terwijl het in feite een bedrijf met winstoogmerk is. Het artikel is bewerkt om dat weer te geven.

$config[ads_kvadrat] not found