Így kereshet 10 ezer dollárt az Uberrel

Az Uber elindította azt a kezdeményezését, amelynek keretében a rendszerein, alkalmazásain biztonsági réseket feltáró személyeket pénzjutalomban részesíti. Akár 10 ezer dollárt is lehet keresni.
 

Az elmúlt egy év során az Ubert sem kerülték el a kibertámadások, még akkor sem, ha mindössze két jelentősebb incidens került napvilágra. Ezek közül az egyik egy jogosulatlan adathozzáférésre volt visszavezethető, és körülbelül 50 ezer sofőr jogosítványszáma bánta a történteket. A másik eset pedig egy szoftveres sérülékenység miatt következett be, és néhány száz amerikai felhasználó személyes adatainak kiszivárgását idézte elő.

Érthető, hogy az Uber sem akar semmit a véletlenre bízni, és megpróbálja megelőzni a támadásokat azáltal, hogy segítségül hívja a biztonsági közösséget. A vállalat mostani bejelentése, miszerint több más informatikai céghez hasonlóan jutalmazza a hibabejelentőket, nem igazán volt váratlan: kezdeményezésének "béta" változata hónapok óta elérhető. Már a jutalmazási program tesztidőszaka is nagyon hasznosnak bizonyult, hiszen megközelítőleg száz sebezhetőségről szereztek tudomást az Uber fejlesztői, amelyeket már meg is szüntettek. 

Mit és hogyan lehet hackelni?

Természetesen ezúttal is szigorú szabályai vannak annak, hogy legálisan mit tehet meg egy biztonsági kutató, és miként kaphat jutalmat. Így például nem végezhet olyan műveleteket, amelyek révén veszélyezteti a felhasználók adatait, nem indíthat belső portszkenneléseket és jogosultsági szint emelést sem hajthat végre. Ugyanakkor még így is marad bőven olyan támadástípus, amiért jár a pénzdíj. 

Az Uber tulajdonképpen minden fontosabb webes rendszerének, szolgáltatásának és alkalmazásának esetében szívesen fogadja az etikus hackerek munkáját. Jutalmat ad azokért a feltárt sebezhetőségekért, amik a *.uber.com, a *.dev.uber.com, a petition.uber.org, az ubermovement.com és egyes mikrosite-ok kapcsán jelentkeznek. Ezek mellett az Android és az iOS kompatibilis mobil alkalmazásaiban kimutatott hibákról szóló jelentéseket is fogadja.

Az egy sebezhetőségért kiosztható legnagyobb jutalom 10 ezer dollár. Ez az összeg akkor jár, ha valaki jogosulatlan kódfuttatásra lehetőséget adó hibát tár fel, vagy olyan biztonsági résre derít fényt, amely személyes adatok kiszivárogtatására adhat módot. 5 ezer dollár ütheti annak a markát, aki olyan XSS (cross-site scripting) típusú sebezhetőségre világít rá, amely bizalmas adatokat is veszélyeztet. Mindezek mellett 3 ezer dollár jár az egyéb XSS és CSRF sérülékenységekért.

Elcsábított kutatók

Az Uber nagyon komolyan gondolja a biztonsági közösség bevonását a rendszereinek védelmébe. Ezt jelzi az is, hogy a programhoz újonnan csatlakozó kutatók számára extra díjazást is felkínált. A cég közlése szerint, ha valaki a május 1-je utáni 90 napos időszakban 4-5 sérülékenységet jelez majd, akkor további jutalomban fog részesülni. 

Az Uber kiemelte, hogy a sebezhetőségeket feltáró kutatók publikálhatják majd az eredményeiket, de csak miután a fejlesztők már befoltozták a szóban forgó biztonsági réseket.