Nag-aalok ang Uber ng mga Hacker ng $ 10,000 na Gantimpala upang Makahanap ng mga Bug sa App nito

$config[ads_kvadrat] not found

Uber and Lyft accounts hacked in money laundering scheme

Uber and Lyft accounts hacked in money laundering scheme
Anonim

Si Uber ay isang malinaw na tagapagtaguyod ng ekonomiya: Ang paggamit ng mga freelancer ay nakatulong sa kumpanya na maging isa sa mga pinaka-popular na paraan ng transportasyon. At ngayon, Uber ay inihayag na ito ay itulak ang kagustuhan nito para sa mga freelancer sa seguridad sektor ng kanilang kumpanya pati na rin.

Uber ay inilagay sa publiko ang isang programa ng "bug kapagbigayan" na nag-aalok ng white-hat hackers ng pera sa pamamagitan ng proyekto para sa paghahanap ng kahit na ang pinakamaliit na mga bug sa software ng kumpanya. At upang bumuo ng kaguluhan, nag-attach sila ng kapansin-pansin na payout na hanggang $ 10,000.

"Kahit na may isang koponan ng mga eksperto sa seguridad at mahusay na sinanay na seguridad, kailangan mong patuloy na maghanap ng mga paraan upang mapabuti," sabi ni Joe Sullivan, punong opisyal ng seguridad, sa isang pahayag. "Ang bug na program na ito ay makakatulong upang matiyak na ang aming code ay ligtas hangga't maaari. At ang aming natatanging pamamaraan ng katapatan ay maghihikayat sa komunidad ng seguridad na maging eksperto pagdating sa Uber."

Upang gawin ito, nakipagtulungan si Uber sa HackerOne, isang kumpanya na "kapaki-pakinabang na mga mahuhusay na hacker na nagbibigay ng kontribusyon sa isang mas ligtas na internet." Ang HackerOne ay may lupon ng mga tagapayo mula sa pinuno ng seguridad ni Tesla na si Chris Evans sa Google security engineer na si Kostya Kortchinsky.

Uber ay sinusubukan na panatilihin ang mga hacker tulad ng isang kumpanya ng airline pinapanatili ang mga flyer na may "unang ng uri ng programa ng gantimpala ng katapatan." Simula sa Mayo 1, bugbounty mangangaso ay may 90 araw upang makahanap ng higit sa apat Uber-certified bug. Simula sa ikalimang bug, ang Uber ay magtatakda sa isang karagdagang 10 porsiyento na bonus na payout para sa bawat bagong bug.

Ipinangako ng kumpanya ang isang disenteng dami ng transparency upang tulungan ang mga hacker na makarating sa root ng mga problema nang mas mabilis sa isang "mapa ng kayamanan." Ang kayamanan ng mapa ay nagsisikap na mabuhay sa pangalan nito sa pamamagitan ng pag-lista ng mga layout ng Uber at nag-aalok ng iba't ibang mga tip sa pagkuha ng malalim sa kumpanya upang mahanap ang kahit na ang pinaka-banayad na mga bug na maaaring lingid sa programming.

Habang ang mapa ng kayamanan ay maaaring maging kapana-panabik para sa mga taong naghahanap upang mag-cash sa dime ng kumpanya, ito rin ay maaaring maging kapana-panabik para sa black-hat hackers na may mas kasuklam-suklam na mga intensyon. Ngunit Uber insists na ito ay hindi pagbibigay ng anumang impormasyon na hindi pa magagamit sa publiko, ito ay lamang ng paglalagay ng impormasyon out sa bukas para sa lahat upang mahanap ito nang mas madali. Bilang karagdagan sa app mismo, nagpapaliwanag ang mapa ng kayamanan at nagsasabi kung ano ang hahanapin sa mga pahina ng mga mangangabayo, developer, kasosyo, negosyo, at vault. Na ang huling isa sa mga partikular na maaaring mahuli ang ilang mga mata, dahil ito ay kung saan ang impormasyon ng bangko at pambansang numero ng ID ay naka-imbak, sensitibong impormasyon na Uber ay may ilang mga problema sa pagpapanatiling pribadong nakaraang taon.

Sa panahon ng pribadong bersyon ng programa ng nakaraang taon, higit sa 200 mga mananaliksik sa seguridad ang nakakakita ng halos 100 mga bug.

Kung nakita ng Uber ang ganitong uri ng tagumpay mula sa publiko (at ang mga hacker ay nagpasiya na hindi gamitin ang mapa ng kayamanan para sa higit sa layunin nito), maaari lamang itong maiwasan ang anumang mas nakakahiyang isyu sa seguridad.

Ipagpapatuloy namin ang iyong nai-post sa kung ano ang mga bug na inilalantad ng mga hacker.

Pagwawasto (3/29/16): Sa orihinal na bersyon ng artikulong ito, nakasaad na ang HackerOne ay isang non-profit na korporasyon, kung kailan, sa katunayan, ito ay para sa profit na kumpanya. Ang artikulo bilang na-edit upang mapakita iyon.

$config[ads_kvadrat] not found