Uber offre agli hacker un premio di $ 10.000 per trovare bug nella sua app

Uber è un ovvio sostenitore della gig-economy: l'uso dei freelance ha aiutato l'azienda a diventare uno dei metodi di trasporto più popolari. E oggi, Uber ha annunciato che sta spingendo la sua preferenza per i freelance nel settore della sicurezza della loro azienda.

Uber ha presentato al pubblico un programma di "bug bounty" che offre agli hacker white-hat soldi per il progetto di trovare anche i bug più piccoli nel software dell'azienda. E per aumentare l'eccitazione, hanno messo in palio un'attendibile vincita fino a $ 10.000.

"Anche con un team di esperti di sicurezza altamente qualificati e ben addestrati, è necessario essere costantemente alla ricerca di modi per migliorare", ha detto Joe Sullivan, capo della sicurezza, in una nota. "Questo programma di bug bug aiuterà a garantire che il nostro codice sia il più sicuro possibile. E il nostro esclusivo programma di fidelizzazione incoraggerà la comunità della sicurezza a diventare esperti quando si tratta di Uber."

Per farlo, Uber ha stretto una partnership con HackerOne, una società che "ricompensa gli hacker amichevoli che contribuiscono a un Internet più sicuro." HackerOne ha un consiglio di esperti che va dal responsabile della sicurezza di Tesla Chris Evans all'ingegnere della sicurezza di Google Kostya Kortchinsky.

Uber sta tentando di trattenere hacker come se una compagnia aerea conservasse volantini con un "primo del suo tipo di programma fedeltà". A partire dal 1 maggio, i cacciatori di taglie bug hanno 90 giorni per trovare più di quattro bug certificati Uber. A partire dal quinto bug, Uber affronterà un ulteriore bonus di 10% per ogni nuovo bug.

La compagnia ha promesso una quantità decente di trasparenza per aiutare gli hacker a raggiungere la radice dei problemi più velocemente con una "mappa del tesoro". La mappa del tesoro tenta di essere all'altezza del suo nome elencando i layout di Uber e offrendo vari suggerimenti per entrare in profondità nell'azienda per trovare anche i bug più sottili che potrebbero essere in agguato nella programmazione.

Mentre la mappa del tesoro potrebbe essere eccitante per le persone che cercano di incassare i soldi della compagnia, potrebbe anche essere eccitante per gli hacker black-hat con intenzioni più nefande. Ma Uber insiste sul fatto che non sta rinunciando a nessuna informazione che non è già disponibile al pubblico, ma sta semplicemente mettendo queste informazioni alla luce di tutti per trovarle più facilmente. Oltre all'app stessa, la mappa del tesoro spiega e spiega cosa cercare sui riders, sugli sviluppatori, sui partner, sugli affari e sulle pagine del vault. Quest'ultimo, in particolare, potrebbe catturare alcuni sguardi, poiché è qui che sono archiviate le informazioni bancarie e i numeri di identificazione nazionali, informazioni sensibili che Uber ha avuto qualche problema a tenere riservato l'anno scorso.

Durante la versione privata del programma dello scorso anno, più di 200 ricercatori di sicurezza hanno trovato quasi 100 bug.

Se Uber vede quel tipo di successo dal pubblico (e gli hacker decidono di non usare la mappa del tesoro per qualcosa di più del suo scopo), potrebbe semplicemente essere in grado di evitare altri problemi di sicurezza imbarazzanti.

Vi terremo aggiornati su quali bug mostrino questi hacker.

Correzione (29/03/16): Nella versione originale di questo articolo, è stato affermato che HackerOne era una società senza scopo di lucro, quando, in realtà, è una società a scopo di lucro. L'articolo è stato modificato per riflettere questo.