„Uber“ siūlo įsilaužėliams 10 000 JAV dolerių premiją „Find Bugs“ savo programoje

Uberas yra akivaizdus gig-ekonomikos šalininkas: laisvai samdomų vertėjų naudojimas padėjo bendrovei tapti vienu iš populiariausių transporto būdų. Šiandien Uberas pranešė, kad jis savo pirmenybę teikia laisvai samdomiems darbuotojams savo įmonės saugumo sektoriuje.

„Uber“ viešai paskelbė „bug bounty“ programą, kuri projektui siūlo baltųjų skrybėlių įsilaužėlių pinigus ieškant net mažiausių klaidų kompanijos programinėje įrangoje. Ir norėdami sukurti jaudulį, jie prideda akį traukiančią išmoką iki 10 000 JAV dolerių.

„Net su aukštos kvalifikacijos ir gerai apmokytų saugumo ekspertų komanda, jums reikia nuolat ieškoti būdų, kaip tobulėti“, - pareiškime sakė vyriausiasis saugumo pareigūnas Joe Sullivan. „Ši klaidų programa padės užtikrinti, kad mūsų kodas būtų kuo saugesnis. Mūsų unikali lojalumo programa paskatins saugumo bendruomenę tapti ekspertais, kai kalbama apie Uber. “

Norėdami tai padaryti, Uber bendradarbiavo su HackerOne, kompanija, kuri „apdovanoja draugiškus įsilaužėjus, kurie prisideda prie saugesnio interneto“. „HackerOne“ turi patarėjų valdybą, pradedant nuo Teslos saugumo vadovo Chriso Evanso iki „Google“ saugumo inžinieriaus Kostja Kortčinskio.

Uberis bando išlaikyti įsilaužėlių, kaip oro linijų kompanija išlaiko skrajutes su „pirmojo pobūdžio lojalumo premijų programa“. Nuo gegužės 1 d. Klaidų medžiotojai turi 90 dienų, kad surastų daugiau nei keturis „Uber“ sertifikuotus klaidas. Nuo penktosios klaidos „Uber“ prisiims papildomą 10 proc. Premiją už kiekvieną naują klaidą.

Bendrovė pažadėjo tinkamo skaidrumo sumą, kad padėtų įsilaužėliams greičiau patekti į problemų šaką „lobių žemėlapiu“. Lobių žemėlapis bando gyventi pagal savo vardą, nurodydamas „Uber“ išdėstymus ir pateikdamas įvairius patarimus, kaip įsitvirtinti įmonėje ieškoti net subtiliausių klaidų, kurios gali paslėpti programavimą.

Nors lobių žemėlapis gali būti įdomus žmonėms, kurie nori užsidirbti pinigais kompanijos centre, tai taip pat gali būti įdomu juodųjų skrybėlių įsilaužėliams, turintiems daugiau nepatogių ketinimų. Tačiau Uberas primygtinai reikalauja, kad ji neatsisakytų jokios informacijos, kuri dar nėra prieinama visuomenei, ji tiesiog išleidžia šią informaciją atvirai, kad visi galėtų ją lengviau rasti. Be paties app, lobių žemėlapis paaiškina ir pasakoja, ko ieškoti ant raitelių, kūrėjų, partnerių, verslo ir skliautų puslapių. Visų pirma tai gali užtrukti akis, nes ten saugomi banko duomenys ir nacionaliniai identifikaciniai numeriai, slapta informacija, kurią Uber turėjo šiek tiek sunkumų pernai.

Praėjusių metų privačioje programos versijoje daugiau nei 200 saugumo tyrinėtojų rado beveik 100 klaidų.

Jei Uber mano, kad tokio tipo sėkmė iš visuomenės (ir įsilaužėliai nusprendžia nenaudoti lobių žemėlapio daugiau nei numatytasis tikslas), tai tiesiog gali išvengti bet kokių nepatogesnių saugumo problemų.

Mes jus paskelbsime apie klaidas, kurias atskleidžia šie įsilaužėliai.

Pataisa (16/26/16): pradinėje šio straipsnio versijoje buvo teigiama, kad HackerOne buvo pelno nesiekianti įmonė, kuri iš tikrųjų yra pelno siekianti bendrovė. Straipsnis buvo redaguotas, kad tai atspindėtų.