继上次找来两位骇客加入团队之后,Uber 将再次寻求与骇客合作。Uber 在 3 月 22 日宣告将提供高额奖金给找出 Uber 系统中安全漏洞的骇客,希望能改善内部的系统。
以提供线上叫车服务做为主要业务的 Uber 可说是最具争议性的公司之一,在世界各地包括美国、法国、澳洲、荷兰和加拿大等国引发了各种不同的问题,在台湾甚至已经遭主管机关开罚超过 5,000 万元。Uber 在 2009 年由 Travis Kalanick 和 Garrett Camp 所创立,目前市值预估上看数百亿美元。
Uber 在 2015 年就已经在私下举办过一次寻找系统漏洞的悬赏计划,参与的 200 多名资安人员找出将近 100 个系统中的漏洞,让 Uber 官方十分满意,因此决定在 2016 年 5 月扩大举办。计划将从 5 月 1 日开始实施,一连持续 90 天。参加者必须找出 4 个 Uber 官方认定的系统漏洞才会获得参加计划的资格,超过 4 个以上的漏洞还可以获得额外的奖金。每个系统问题会依照严重程度支付奖金,发现中等程度的问题可以获得 3,000 美元,重要的问题则能够获得 5,000 美元,而发现严重的问题的奖金更是上看 10,000 美元。
Uber 在这个计划中与招募独立骇客的资讯安全公司 HackerOne 合作,试图借此寻找更多骇客来参与计划。此外,为了帮助这些网络界的赏金猎人能够更准确的找出系统中的问题,Uber 官方提供了内部网站的架构作为“藏宝图”,解释不同区块的功能以及各区块希望能寻找的系统问题。
这个计划也不是毫无争议,有人质疑 Uber 这次的计划就如同其商业模式一般,试图避免聘用正职的资讯安全人员,只找一次性付费的骇客,来规避应该肩负的雇主责任。Uber 在劳雇问题上的纪录一向不良,而隐私问题、恶性竞争、甚至是性骚扰问题都和这家公司有关,让其在世界各地快速扩张的同时也面对众多抨击。
(图片来源:Uber 官网)
相关连结
Uber 官网
HackerOne 官网
Uber Will Pay $10,000 ‘Bug Bounties’ to Friendly Hackers
