Uber要“大出血”了：一个系统漏洞可奖励5000至10000美元

　　Uber的商业模式基于一个简单理念：如果你能随时随地召唤一个临时司机，为什么还要雇用全职司机呢?现在，Uber把这个概念运用到了网络安全上，他们雇用了一支黑客大军，并根据他们发现的系统漏洞支付相应薪酬。

　　本周二，Uber正式发布了漏洞赏金项目，在Uber的应用和网页中找到漏洞的独立安全研究人员可以获得数千美元的奖金。这也使得Uber成了最新一家采用众包模式审核代码来对抗恶意黑客的科技巨头。

　　找到一个可以破坏Uber主页或暴露用户邮箱的漏洞奖励5000美元，而找到一个可以完全接管Uber账号或者可以在Uber的执行服务器上运行恶意代码的漏洞则能获得1万美元的奖金。

　　Uber这次与专业的漏洞赏金公司HackerOne达成了合作，与以往谷歌、Facebook和微软不同的是，它尝试了一个“忠诚度系统”，Uber平台上的漏洞会反复出现以提供奖励，同时它还承诺会放出一份“藏宝图”，也就是公司的代码，来引导赏金猎人去挖掘系统中潜在的弱点，让他们的工作更有效率。

　　Uber的产品经理Collin Greene说，这么做是为了鼓励安全人员深入研究Uber的代码，而不仅仅是去寻找那些显而易见的漏洞。藏宝图的作用在于让外部黑客也能和内部员工一样，直接获得系统的结构信息，这样可以帮他们节省侦查时间，让他们迅速进入到寻找漏洞的状态。

　　“我们会告诉黑客，这是网站的什么部分，它结合了哪些技术，如果我是你我会看看这个，这样他们就不用再去研究我们的系统结构，转而把时间花在寻找那些藏得很深的漏洞上。”

　　这对黑客来说可能有些挑衅，说不定还会引来一些麻烦。但Uber认为他们的藏宝图中给出的信息都是已经公开的，与其被那些不坏好意的黑客拿来赚钱还不如把他们提供给那些善意的黑客，，让他们帮公司找出漏洞。

　　Greene说：“我们要确保这些信息以一种明确易懂的方式给了有正当目的的人，也就是安全人员，他们检查了我们的代码之后会直接把漏洞报告给我们。我们认为这种透明化的项目会取得更大的成功。”

　　Ube的漏洞赏金项目并没有听起来那么新奇，在对这个项目进行为期一年的测试时，他们就已经支付了一百多笔赏金给黑客们，并且为此他们还招募了很多经验丰富的漏洞赏金经理，比如Greene和安全主管Joe Sullivan。

　　Sullivan是从Facebook挖来的，Greene则曾在Facebook管理过一项上百万美元的漏洞赏金项目。实际上，Ube的新功能也向我们展示了漏洞赏金的文化已经进化到了什么程度：大型科技公司都争着吸引独立黑客的注意，它们不仅仅给黑客提供丰厚的奖金，还努力为他们简化发现漏洞的过程。Greene说：“我们希望安全人员能享受这个过程。”

　　Uber还将把赏金的范围扩展到了汽车方面。目前，这个项目只适用于其网页和应用中出现的漏洞，鉴于Uber并不真正拥有那些汽车，因此进行到这里也就差不多了。

　　还有一些公司也对汽车开展了漏洞赏金的试验，比如特斯拉就针对它的车辆中可能存在的漏洞发布了赏金项目，通用最近也发布了一个漏洞公开项目，但并没有金钱奖励。

　　但这并不表示Uber的汽车在网络安全方面就没有问题，Uber在八月雇用了两名远程侵袭过吉普车的黑客来演示如何切断它的传动装置和刹车。所以，不管是在网页还是汽车方面，不用多久Uber应该就要支付赏金了。

（编辑：ASP站长网）