Uber, firma umożliwiająca korzystanie ze społecznościowej taksówki za pomocą aplikacji na smartfon, postanowiła rzucić prawdziwe wyzwanie hakerom. Uruchomiła dla nich nietypową akcję czyli program lojalnościowy.
Im więcej błędów, tym więcej pieniędzy
Od 1 maja, jak wyjaśnia The Verge, mogą oni rozpocząć swoistą konkurencję - ich zadaniem jest odnajdywanie luk w oprogramowaniu Ubera, a nagrodą pieniądze. Sednem programu jest to, że im więcej błędów wykrywa jedna osoba, tym więcej pieniędzy dostaje.
Błędy podzielono na kategorie: "średnie" - umożliwia podmianę zdjęcia kierowcy lub masową kradzież unikalnych nazw użytkowników. Za ich wykrycie Uber płaci 3000 dolarów. "Znaczące" wyceniono na 5000 dolarów - chodzi tu o oszukanie systemu autoryzacji prowadzące do poznania adresu e-mail, daty urodzin lub telefonu użytkownika. Za luki "krytyczne" Uber uznał pełne przejęcie kontroli nad kontem, poznanie numeru karty kredytowej, numeru konta bankowego, przejęcie zdjęcia przedstawiającego prawo jazdy. Za wykrycie takich wad w kodzie Ubera zgarnąć można 10 tys. dolarów.
Do tego dochodzi jeszcze bonus "lojalnościowy" - za wykrycie czwartej luki haker otrzymuje dodatkowe 10% ze średniej za trzy poprzednie wypłaty.
Uber dmucha na zimne
Decyzja Ubera jest niezwykle korzystna dla użytkowników. Po pierwsze, oddanie kodu w ręce hakerów można traktować jako swego rodzaju audyt. Mało firm decyduje się na taką otwartość. Hakerzy wykryją bowiem nie tylko luki w zabezpieczeniu, ale wszelkie próby inwigilacji czy wykorzystywania danych w sposób niezgodny z etyką. Użytkownicy skorzystają też dlatego, że akcja z całą pewnością skończy się wykryciem kilku luk. Lepiej, że zostaną załatane zanim odkryją je cyberprzestępcy.
Decyzja o stworzeniu programu lojalnościowego dla hakerów ma ważne przyczyny. Wyjaśnił je, w rozmowie z The Wired, Collin Green, szef bezpieczeństwa Ubera.
Chodzi o to, by zachęcić specjalistów od bezpieczeństwa, by zajęli się kodem Ubera z pełnym zaangażowaniem zamiast pracować dla kilku różnych firm.
Najwidoczniej hakerzy i eksperci od ochrony danych zaczęli być wreszcie doceniani, a producenci aplikacji zrozumieli, że nie ma co oszczędzać na bezpieczeństwie.
