uber將向駭客支付高達1萬美元的費用，以查詢其系統中的漏洞

優步希望招募一些優秀的“白帽”駭客，對其程式碼進行梳理，找出可能暴露司機和乘客個人資訊的弱點。今年5月，該公司表示將舉行漏洞懸賞活動，自詡為“安全研究人員”的人可以因為發現Uber系統的缺陷而獲得大筆獎金。小小的漏洞可以凈賺幾千美元，但重大的安全漏洞可以為駭客賺取高達10000美元的額外利息，如果他們對Uber保持忠誠的話。...

從5月1日開始，安全研究人員將有90天的時間來識別Uber系統中的漏洞。找到四個或更多錯誤的人將獲得相當於前四個錯誤平均值10%的獎金。優步表示，這將成為一個“忠誠度計劃”，鼓勵駭客繼續搜尋漏洞。而優步將提供一張“藏寶圖”，幫助研究人員瀏覽公司程式碼。

忠誠計劃和藏寶圖

有三個級別的漏洞，每一個漏洞的金額都在不斷增加：“中等”漏洞，例如能夠更改驅動程式的圖片或任何允許批次查詢使用者通用唯一識別符號的漏洞，需要支付3000美元重大的“漏洞”，如丟失授權檢查導致暴露的電子郵件地址，出生日期，姓名，電話號碼等，支付5000美元；而“關鍵”漏洞，如“完全賬戶接管”或任何暴露個人資料的漏洞，如社保號碼、信用卡號碼、銀行賬號和駕照影象，都會讓駭客凈賺1萬美元。

Uber表示，這一漏洞懸賞並不是針對任何具體的駭客攻擊事件，儘管過去幾年裡，ride-hail公司有相當一部分明顯的安全漏洞。2014年的一起違規事件暴露了超過50000名司機的個人資訊。該公司等了5個月才通知司機，這導致紐約州總檢察長罰款2萬美元。去年，一個漏洞允許駭客即使在密碼被更改後仍然可以訪問被洩露的賬戶。而今年，一名佛羅裡達州女子為優步（Uber）開車時的社保和納稅身份證號碼被無意中傳送給了其他數千名司機。

“你想把勝算加在你身上”

Uber稱，此次漏洞懸賞不是針對這些事件，而是針對其去年舉行的一次私人“beta”駭客競賽，200名安全研究人員在競賽中發現了100多個漏洞。這使該公司確信，在留住員工的同時，它還需要“額外的一層安全保障”。

“你想把勝算放在對你有利的位置上，”負責竊聽懸賞的Uber安全團隊成員科林•格林（Colinn Greene）說。他解釋說，優步自己的團隊是抵禦漏洞的第一道防線，但局外人可以幫助發現那些漏洞百出的漏洞。”如果有什麼東西漏掉了，我們要激勵人們，付給他們一大筆錢，讓他們來告訴我們。這使得系統的所有其他部分都變得更好，除了找到安全漏洞之外。”

如今，漏洞懸賞在矽谷風靡一時，在那裡，駭客可以透過在谷歌和Facebook等公司中發現缺陷來賺取巨額獎金。甚至像通用汽車（generalmotors）和特斯拉（Tesla）這樣的汽車公司也舉辦了自己的臭蟲懸賞活動。優步的估值為625億美元，是世界上最有價值的初創公司，它認為自己與矽谷的其他重量級公司不相上下，因此需要與其龐大估值所能承受的相同型別的數字保護。ride hail服務正與HackerOne合作，這是一家總部位於舊金山的初創公司，為大型科技公司提供漏洞補貼。

“認識到駭客的價值”

哈克龍首席政策官凱蒂·穆蘇裡斯（Katie Moussouris）表示：“優步已經加入汽車公司，啟動了一個漏洞懸賞計劃（如特斯拉）或漏洞協調計劃（如通用汽車），這一事實表明，在普遍接受漏洞懸賞作為行業最佳實踐和有效工具方面發生了重大轉變。”在短短幾年時間裡，我們已經從只在傳統軟體供應商中常見的漏洞懸賞，發展到今天更多的（物聯網）供應商認識到駭客的價值。”

雖然許多駭客避開了公眾的關註，但優步表示，它將在獲得許可的情況下，在其網站上公佈最好的提交內容，以便其他研究人員可以以身作則。”“我們會說，‘嘿，夥計們，這真是一個很酷的工作，’”格林說看看這個。”