ä¸è¦å²ç¬æåçæ§
优步显然是gig-economy的支持者:使用自由职业者帮助公司成为最受欢迎的交通方式之一。今天,优步宣布它正在推动其对公司安全部门的自由职业者的偏好。
优步向公众提出了一个“虫子赏金”计划,该计划通过该项目为白帽黑客提供资金,用于查找该公司软件中最小的漏洞。为了增加兴奋感,他们获得了高达10,000美元的引人注目的奖金。
“即使有一支高素质,训练有素的安全专家团队,你也需要不断寻找改进方法,”首席安全官Joe Sullivan在一份声明中表示。 “这个bug赏金计划将有助于确保我们的代码尽可能安全。我们独特的忠诚度计划将鼓励安全社区成为优步的专家。“
为此,Uber与HackerOne合作,该公司“奖励那些为更安全的互联网做出贡献的友好黑客。”HackerOne拥有一个顾问委员会,从特斯拉的安全负责人Chris Evans到Google安全工程师Kostya Kortchinsky。
优步正试图挽留黑客,就像一家航空公司保留传单,并拥有“首个忠诚奖励计划。”从5月1日开始,bug赏金猎人有90天时间可以找到超过4个优步认证的漏洞。从第五个错误开始,优步将为每个新错误额外支付10%的奖金。
该公司承诺提供相当大的透明度,以帮助黑客通过“宝藏地图”更快地找到问题的根源。宝藏地图试图通过列出优步布局并提供深入公司的各种提示来实现其名称。找到甚至可能潜伏在编程中的最微妙的错误。
虽然宝藏地图对于希望以公司利润兑现的人来说可能是令人兴奋的,但对于具有更多邪恶意图的黑帽黑客来说也可能是令人兴奋的。但优步坚持认为,它并没有放弃任何尚未公开的信息,只是将这些信息公之于众,让每个人都更容易找到它。除了应用程序本身,宝藏地图还解释并说明了在车手,开发人员,合作伙伴,业务和保险库页面上要查找的内容。特别是最后一个可能会抓住一些眼睛,因为它是存储银行信息和国民身份证号码的地方,敏感的信息让优步在去年保密。
在去年的私人版本中,200多名安全研究人员发现了近100个漏洞。
如果优步从公众那里看到了这种类型的成功(并且黑客决定不将宝藏地图用于超出其预期目的),那么它可能能够避免任何更令人尴尬的安全问题。
我们会告诉您这些黑客暴露的错误。
更正(3/29/16):在本文的原始版本中,有人说HackerOne是一家非营利性公司,事实上,它是一家盈利公司。经过编辑的文章反映了这一点。