Uber hat ein Prämienprogramm für „White-Hat-Hacker“ angekündigt. Es ist bereit, bis zu 10.000 Dollar Belohnung an Finder von Sicherheitslücken zu zahlen. Wie viele andere Technikfirmen nutzt es für die Abwicklung die Plattform HackerOne.
Uber interessiert sich sowohl für Fehler in seinen Android- und iOS-Apps (und zwar in denen für Fahrer ebenso wie denen für Passagiere) als auch Schwachstellen seiner Websites uber.com, dev.uber.com, petition.uber.org und ubermovement.com, jeweils einschließlich deren direkter Subdomains. Verkettungen von Schwachstellen sind erwünscht, Zugriffsmöglichkeiten auf Server etwa sollten aber sofort gemeldet werden. Der Entdecker erhält dann eine angemessene Belohnung, ohne dass er einen Exploit entwickeln müsste.
Dem Start des Programms war ein zehnmonatiger Testlauf vorangegangen, in dem rund 200 Sicherheitsforscher um 100 Bugs aufspürten. Zudem gibt es Interessenten eine als „Schatzkarte“ bezeichnete Dokumentation seiner Systeme an die Hand, die das Aufspüren von Fehlern erleichtern soll. Damit können sich Sicherheitsexperten auf das Wesentliche konzentrieren, nämlich Schwachstellen.
Wie Motherboard in Erinnerung ruft, war es um Ubers Sicherheit zuletzt nicht gut bestellt. Es gelang ihm mehrfach nicht, Lücken zu stopfen, die Zugriff auf fremde Kontodaten gaben, und wurde auch von einem Hackerangriff getroffen. Zudem exponierte es versehentlich Fahrerdaten im Netz. Die Folge: Uber-Kontodaten werden auf dem Schwarzmarkt für je nur 40 Cent gehandelt.
V-NAND Flash-Speicher erreichen mit vertikal angeordneten Speicherzellen und neuen Materialien eine höhere Datendichte und Lebensdauer. In Kombination mit der M.2-Schnittstelle und dem NVMe-Protokoll sind SSDs nun bis zu fünfmal schneller als herkömmliche SATA-SSDs.
Um die Situation zu verbessern, hat Uber Facebooks früheren Sicherheitschef Joe Sullivan geholt. Wie Security Engineering Manager Collin Greene erklärte, gab es in den letzten Monaten auch gründliche interne Sicherheitschecks. Das Prämienprogramm sei jetzt der nächste logische Schritt.
Namhafte IT-Firmen nutzen HackerOne für Prämienprogramme. Yahoo zahlt beispielsweise 50 bis 15.000 Dollar, und Mail.ru lobt für entdeckte Fehler in seinem Authentifizierungssystem 150 bis 10.000 Dollar aus. Ebenfalls auf HackerOne haben Facebook, Google und Microsoft ihr Programm Internet Bug Bounty realisiert. Die ausgeschriebenen Mindestpreisgelder betragen bis zu 5000 Dollar.
[mit Material von Jake Smith, ZDNet.com]
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…