Uber предлагает хакерам вознаграждение в 10 000 долларов за поиск ошибок в своем приложении

Uber - очевидный сторонник гиг-экономики: использование фрилансеров помогло компании стать одним из самых популярных способов транспортировки. И сегодня Uber объявил, что он отдает предпочтение фрилансерам в секторе безопасности своей компании.

Uber представил публике программу «вознаграждение за ошибки», которая предлагает хакерам «белые шляпы» в рамках проекта за поиск даже самых маленьких ошибок в программном обеспечении компании. И, чтобы создать волнение, они вложили привлекательную выплату до 10 000 долларов.

«Даже с командой высококвалифицированных и хорошо обученных экспертов в области безопасности вам необходимо постоянно искать способы улучшения», - заявил Джо Салливан, директор по безопасности. «Эта программа защиты от ошибок поможет обеспечить максимальную безопасность нашего кода. А наша уникальная схема лояльности поможет сообществу безопасности стать экспертами, когда дело доходит до Uber ».

Для этого Uber заключил партнерское соглашение с HackerOne, компанией, которая «поощряет дружественных хакеров, которые способствуют более безопасному Интернету». У HackerOne есть совет консультантов, от главы безопасности Tesla Криса Эванса до инженера по безопасности Google Kostya Kortchinsky.

Uber пытается удержать хакеров, так как авиакомпания удерживает листовки с «первой в своем роде программой поощрения лояльности». Начиная с 1 мая, охотники за багами имеют 90 дней, чтобы найти более четырех сертифицированных Uber ошибок. Начиная с пятой ошибки, Uber будет использовать дополнительную 10-процентную бонусную выплату за каждую новую ошибку.

Компания пообещала приличную прозрачность, чтобы помочь хакерам быстрее найти причину проблем с помощью «карты сокровищ». Карта сокровищ пытается соответствовать своему названию, перечисляя макеты Uber и предлагая различные советы по углублению в компанию. чтобы найти даже самые тонкие ошибки, которые могут скрываться в программировании.

Хотя карта сокровищ может быть интересной для людей, желающих заработать на копейки компании, она также может быть интересной для хакеров в черной шляпе с более гнусными намерениями. Но Uber настаивает на том, что он не отказывается от какой-либо информации, которая еще не доступна для общественности, он просто раскрывает эту информацию для всех, чтобы ее было легче найти. В дополнение к самому приложению карта сокровищ объясняет и рассказывает, что искать на страницах райдеров, разработчиков, партнеров, бизнеса и хранилищ. Последний, в частности, может броситься в глаза, поскольку именно там хранятся банковская информация и национальные идентификационные номера, конфиденциальная информация, с которой Убер столкнулся с некоторыми проблемами при сохранении конфиденциальности в прошлом году.

В прошлогодней частной версии программы более 200 исследователей в области безопасности обнаружили почти 100 ошибок.

Если Uber увидит такой успех у публики (и хакеры решат не использовать карту сокровищ больше, чем по своему прямому назначению), он просто сможет избежать каких-либо более неловких проблем безопасности.

Мы будем держать вас в курсе, какие ошибки обнаруживают эти хакеры.

Исправление (29.03.16): в первоначальной версии этой статьи было указано, что HackerOne является некоммерческой корпорацией, тогда как на самом деле это коммерческая компания. Статья была отредактирована, чтобы отразить это.