Categories: Sicherheit

Uber startet Prämienprogramm für Sicherheitslücken

Uber hat ein Prämienprogramm für „White-Hat-Hacker“ angekündigt. Es ist bereit, bis zu 10.000 Dollar Belohnung an Finder von Sicherheitslücken zu zahlen. Wie viele andere Technikfirmen nutzt es für die Abwicklung die Plattform HackerOne.

In einer Liste hält Uber fest, welche Arten von Lücken es sucht, darunter Cross-site Scripting (XSS) und Cross-site Request Forgery (CSRF), Codeausführung auf dem Server, Open-Redirect-Anfälligkeiten oder auch Directory-Traversal-Probleme – sowie natürlich Lücken, die Zugriff auf geheime Daten zu Systemen oder Nutzern geben. Die Höhe der Schadenssumme bemisst sich nach den Auswirkungen: Eine XSS-Lücke, die nur einen kaum bekannten Browser betrifft, soll zum Beispiel „entsprechend“ entlohnt werden.

Uber interessiert sich sowohl für Fehler in seinen Android- und iOS-Apps (und zwar in denen für Fahrer ebenso wie denen für Passagiere) als auch Schwachstellen seiner Websites uber.com, dev.uber.com, petition.uber.org und ubermovement.com, jeweils einschließlich deren direkter Subdomains. Verkettungen von Schwachstellen sind erwünscht, Zugriffsmöglichkeiten auf Server etwa sollten aber sofort gemeldet werden. Der Entdecker erhält dann eine angemessene Belohnung, ohne dass er einen Exploit entwickeln müsste.

Dem Start des Programms war ein zehnmonatiger Testlauf vorangegangen, in dem rund 200 Sicherheitsforscher um 100 Bugs aufspürten. Zudem gibt es Interessenten eine als „Schatzkarte“ bezeichnete Dokumentation seiner Systeme an die Hand, die das Aufspüren von Fehlern erleichtern soll. Damit können sich Sicherheitsexperten auf das Wesentliche konzentrieren, nämlich Schwachstellen.

Wie Motherboard in Erinnerung ruft, war es um Ubers Sicherheit zuletzt nicht gut bestellt. Es gelang ihm mehrfach nicht, Lücken zu stopfen, die Zugriff auf fremde Kontodaten gaben, und wurde auch von einem Hackerangriff getroffen. Zudem exponierte es versehentlich Fahrerdaten im Netz. Die Folge: Uber-Kontodaten werden auf dem Schwarzmarkt für je nur 40 Cent gehandelt.

ANZEIGE

V-NAND: Flash-Technologie der Zukunft

V-NAND Flash-Speicher erreichen mit vertikal angeordneten Speicherzellen und neuen Materialien eine höhere Datendichte und Lebensdauer. In Kombination mit der M.2-Schnittstelle und dem NVMe-Protokoll sind SSDs nun bis zu fünfmal schneller als herkömmliche SATA-SSDs.

Um die Situation zu verbessern, hat Uber Facebooks früheren Sicherheitschef Joe Sullivan geholt. Wie Security Engineering Manager Collin Greene erklärte, gab es in den letzten Monaten auch gründliche interne Sicherheitschecks. Das Prämienprogramm sei jetzt der nächste logische Schritt.

Namhafte IT-Firmen nutzen HackerOne für Prämienprogramme. Yahoo zahlt beispielsweise 50 bis 15.000 Dollar, und Mail.ru lobt für entdeckte Fehler in seinem Authentifizierungssystem 150 bis 10.000 Dollar aus. Ebenfalls auf HackerOne haben Facebook, Google und Microsoft ihr Programm Internet Bug Bounty realisiert. Die ausgeschriebenen Mindestpreisgelder betragen bis zu 5000 Dollar.

[mit Material von Jake Smith, ZDNet.com]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

20 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

21 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

1 Tag ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago