Uber五月將舉辦抓漏獎勵活動，獎金上看1萬美元

為了強化乘客與司機資料安全，Uber去年曾在舉辦過封閉式的抓蟲獎勵活動，當時有200多名安全研究人員參加，共找到將近100個軟體漏洞。Uber宣佈今年將在5月擴大舉行，獎金小輒數千美元，最高10,000美元(台幣32.6萬元)提供給抓出軟體漏洞的安全研究人員。

Uber表示，這個回饋方案旨在鼓勵安全界成員深入挖掘，協助Uber應付最難以察覺到的臭蟲。活動自5月1日開始持續90天，Uber會提供一個以該公司軟體程式碼製成的「藏寶圖」，指引參賽者有哪些資料可能洩露，又該尋找哪類漏洞。參賽者必須找到漏洞，且有4項漏洞經Uber認可為真正的軟體瑕疵，才能獲得獎金。

漏洞共分三個等級，像是可能導致司機相片被竄改或允許大量查詢用戶UUID（universally unique identifiers）的「中度」漏洞可獲3,000美元。「重要」漏洞如未做身份檢查導致Email、生日或電話曝光者，獎金5,000美元。針對最高級為「重大」漏洞，例如導致駭客取得完整權限，或取得信用卡號碼、銀行帳號的漏洞，Uber將頒發10,000美元。

如果90天內發現第5項漏洞，就可再額外獲得獎金，「獎金為其他發現到的漏洞平均獎金的10%」(原文：This will be equivalent to 10% of the average payouts for all the other issues found in that session)，並以此類推其他在90天內通報的漏洞。經參賽者同意，Uber也將公佈「佳作」作為其他參賽者參考。

資料竊取、駭客入侵已成所有連網服務業者的隱憂，已成為最大共乘服務的Uber其實也早成駭客的目標。該公司去年5月曾遭駭，導致5萬名司機包含姓名與駕照的個人基本資料外洩。

隨著企業受到駭客攻擊的風險日益增加，業者早已體認到光靠自己難以發現所有的漏洞，因此開始求助外部資源協助強化產品及服務的安全性。

Google近日宣佈針對Chromebook提出的漏洞獎勵計畫獎金加倍到10萬美元。Facebook也在上個月宣佈該公司Facebook Bug Bounty的軟體臭蟲/漏洞通報獎勵計畫，自2011年開始已經抓到超過2,400個軟體漏洞，發出獎金高達430萬美元(約新台幣1.4億元)。