圖片來源: 

Uber

為了強化乘客與司機資料安全,Uber去年曾在舉辦過封閉式的抓蟲獎勵活動,當時有200多名安全研究人員參加,共找到將近100個軟體漏洞。Uber宣佈今年將在5月擴大舉行,獎金小輒數千美元,最高10,000美元(台幣32.6萬元)提供給抓出軟體漏洞的安全研究人員。

Uber表示,這個回饋方案旨在鼓勵安全界成員深入挖掘,協助Uber應付最難以察覺到的臭蟲。活動自5月1日開始持續90天,Uber會提供一個以該公司軟體程式碼製成的「藏寶圖」,指引參賽者有哪些資料可能洩露,又該尋找哪類漏洞。參賽者必須找到漏洞,且有4項漏洞經Uber認可為真正的軟體瑕疵,才能獲得獎金。

漏洞共分三個等級,像是可能導致司機相片被竄改或允許大量查詢用戶UUID(universally unique identifiers)的「中度」漏洞可獲3,000美元。「重要」漏洞如未做身份檢查導致Email、生日或電話曝光者,獎金5,000美元。針對最高級為「重大」漏洞,例如導致駭客取得完整權限,或取得信用卡號碼、銀行帳號的漏洞,Uber將頒發10,000美元。

如果90天內發現第5項漏洞,就可再額外獲得獎金,「獎金為其他發現到的漏洞平均獎金的10%」(原文:This will be equivalent to 10% of the average payouts for all the other issues found in that session),並以此類推其他在90天內通報的漏洞。經參賽者同意,Uber也將公佈「佳作」作為其他參賽者參考。

資料竊取、駭客入侵已成所有連網服務業者的隱憂,已成為最大共乘服務的Uber其實也早成駭客的目標。該公司去年5月曾遭駭,導致5萬名司機包含姓名與駕照的個人基本資料外洩。

隨著企業受到駭客攻擊的風險日益增加,業者早已體認到光靠自己難以發現所有的漏洞,因此開始求助外部資源協助強化產品及服務的安全性。

Google近日宣佈針對Chromebook提出的漏洞獎勵計畫獎金加倍到10萬美元。Facebook也在上個月宣佈該公司Facebook Bug Bounty的軟體臭蟲/漏洞通報獎勵計畫,自2011年開始已經抓到超過2,400個軟體漏洞,發出獎金高達430萬美元(約新台幣1.4億元)。


Advertisement

更多 iThome相關內容