Uber startet Prämienprogramm für Sicherheitslücken

Uber hat ein Prämienprogramm für „White-Hat-Hacker“ angekündigt. Es ist bereit, bis zu 10.000 Dollar Belohnung an Finder von Sicherheitslücken zu zahlen. Wie viele andere Technikfirmen nutzt es für die Abwicklung die Plattform HackerOne.

In einer Liste hält Uber fest, welche Arten von Lücken es sucht, darunter Cross-site Scripting (XSS) und Cross-site Request Forgery (CSRF), Codeausführung auf dem Server, Open-Redirect-Anfälligkeiten oder auch Directory-Traversal-Probleme – sowie natürlich Lücken, die Zugriff auf geheime Daten zu Systemen oder Nutzern geben. Die Höhe der Schadenssumme bemisst sich nach den Auswirkungen: Eine XSS-Lücke, die nur einen kaum bekannten Browser betrifft, soll zum Beispiel „entsprechend“ entlohnt werden.

Uber interessiert sich sowohl für Fehler in seinen Android- und iOS-Apps (und zwar in denen für Fahrer ebenso wie denen für Passagiere) als auch Schwachstellen seiner Websites uber.com, dev.uber.com, petition.uber.org und ubermovement.com, jeweils einschließlich deren direkter Subdomains. Verkettungen von Schwachstellen sind erwünscht, Zugriffsmöglichkeiten auf Server etwa sollten aber sofort gemeldet werden. Der Entdecker erhält dann eine angemessene Belohnung, ohne dass er einen Exploit entwickeln müsste.

Dem Start des Programms war ein zehnmonatiger Testlauf vorangegangen, in dem rund 200 Sicherheitsforscher um 100 Bugs aufspürten. Zudem gibt es Interessenten eine als „Schatzkarte“ bezeichnete Dokumentation seiner Systeme an die Hand, die das Aufspüren von Fehlern erleichtern soll. Damit können sich Sicherheitsexperten auf das Wesentliche konzentrieren, nämlich Schwachstellen.

Wie Motherboard in Erinnerung ruft, war es um Ubers Sicherheit zuletzt nicht gut bestellt. Es gelang ihm mehrfach nicht, Lücken zu stopfen, die Zugriff auf fremde Kontodaten gaben, und wurde auch von einem Hackerangriff getroffen. Zudem exponierte es versehentlich Fahrerdaten im Netz. Die Folge: Uber-Kontodaten werden auf dem Schwarzmarkt für je nur 40 Cent gehandelt.

Um die Situation zu verbessern, hat Uber Facebooks früheren Sicherheitschef Joe Sullivan geholt. Wie Security Engineering Manager Collin Greene erklärte, gab es in den letzten Monaten auch gründliche interne Sicherheitschecks. Das Prämienprogramm sei jetzt der nächste logische Schritt.

Namhafte IT-Firmen nutzen HackerOne für Prämienprogramme. Yahoo zahlt beispielsweise 50 bis 15.000 Dollar, und Mail.ru lobt für entdeckte Fehler in seinem Authentifizierungssystem 150 bis 10.000 Dollar aus. Ebenfalls auf HackerOne haben Facebook, Google und Microsoft ihr Programm Internet Bug Bounty realisiert. Die ausgeschriebenen Mindestpreisgelder betragen bis zu 5000 Dollar.

[mit Material von Jake Smith, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de