Röviden úgy lehetne megfogalmazni, hogy az Uber jó szándékú hackereket keres, és ez azt jelenti, hogy aki apróbb hibát talál a rendszerükben, az “csupán” egy-kétezer dollárral lesz gazdagabb, míg aki egész komoly résre bukkan, az akár 10 000 dollárt is kasszírozhat, ami már nem is annyira rossz pénz, plusz a cég esetleg hosszabb távon is számít majd a szolgálataira.
Az Uber biztonsági réseket kutató kampánya május elsején indul, és onnantól kezdve 90 napjuk van a hackereknek arra, hogy hiányosságokat keressenek és találjanak a rendszerben, aki pedig négy ilyet azonosít, az az alapilletményen felül bónuszként megkapja az előző négy rés feltárásáért fizetett összeg 10 százalékát. Az Uber szerint ez egyfajta hűségprogram, ami arra ösztönzi a hackereket, hogy kitartóan kutassák a biztonsági hiányosságokat.
A cég a hibákat három különböző kategóriába sorolja a veszélyességük mértéke alapján, így a legártalmatlanabbak kapják a “közepes” megnevezést, melyek a rosszindulatú támadásoknál olyasmiket tesznek lehetővé, hogy a hacker megváltoztathatja a sofőrök profilképét. Az ilyen hibák feltárásáért 3 000 dollár jár. A következő kategória a jelentős bug, ami már az e-mail címek, személyes adatok kiszivárgásával járhat, és ezekért 5000 dollárt kaphat a felderítő. A legkomolyabb résekért 10 000 dolláros jutalom üti a “teszthackerek” markát, ami elenyésző ahhoz képest, hogy egy ilyen rés milyen komoly károkat okozhat a cégnek. Ez a díj olyan hibák felfedezéséért jár, melyekkel egyedi azonosítókhoz, bankszámlaszámokhoz, jogosítványadatokhoz lehet hozzáférni, és az már olyan, mint a medve, vagyis nem játék.
Az Uber igyekszik tudatosítani, hogy ez a kampány nem azért történik, mert a közelmúltban valamilyen támadás érte a rendszerüket, sokkal inkább szeretnék, ha valóban jól működő, biztonságos szolgáltatást tudnának nyújtani utasnak és sofőrnek egyaránt. Ugyanakkor az elmúlt években ők sem úszták meg a támadásokat, így 2014-ben egy kibertámadás alkalmával 50 000 sofőr adatai kerültek illetéktelen kezekbe, de akkor a cég 5 hónapig lapított, és végül megúszta egy 20 000 dolláros büntetéssel.
A biztonsági rések “közösségi alapú” keresése nem ismeretlen dolog a techcégek területén, hiszen a Google és a Facebook is él hasonlókkal, ami azért jó, mert ilyenkor független koponyák esnek neki a biztonsági rések felderítésének, és fokozottan érvényesül a “több szem többet lát” elv.
