优步悬赏黑客“捉虫”

24.03.2016  08:57

  新华社旧金山3月22日电(记者徐勇)美国优步公司22日在网站首页贴出一份公告,标题为“欢迎所有人为领取奖金而‘捉虫’”,悬赏最高1万美元的奖金邀请外界人士查找程序漏洞,以强化这家企业的信息系统安全。

  所谓“”(bug),在电脑及关联行业是一个俗称,特指硬件软件缺陷或漏洞,如果与网络相关则可能成为非法侵入的通道。新的硬件和软件都要不断调试排除漏洞才会趋于成熟,这也被称为“捉虫”。

  优步创始于旧金山,以移动应用软件提供“拼车”服务,目前已扩展到几十个国家、几百座城市,因而数据安全尤为重要。它介绍说,去年发起一个“试用版有奖捉虫”项目,不公开邀请超过200名信息安全“研究人员”参与,捉到近100个“虫子”。

  那批虫子业已“杀灭”,企业数据安全得以改善,优步决定启动“正式版有奖捉虫”,又称“忠诚奖励计划”,以鼓励企业以外的人士继续“深度捉虫”。

  按优步的说法,参与者将是信息技术“安全社区成员”。但是,按照一些分析师的解读,优步邀请的对象,不会是安全服务供应商的雇员,只可能是所谓“独立研究人员”,也就是常人所称的黑客。

  优步说,它制作了一份指南,将定期更新并发布,以便了解企业电脑系统软件内可能存在的不同类型“虫子”。

  项目“第一季”将从今年5月1日开始,持续90天。任何受邀人士发现系统内4个“问题”,由优步认定确实是安全漏洞,就有资格获得奖励;如果发现4个以上将获得额外奖励;要获得1万美元的最高奖金,需发现“极为严重的问题”,也可以说“可能致命的虫子”。

  优步承诺将尽可能保持透明,公开“虫子”落网情况,在当事者允许情况下发布已经捉到的“最高质量虫子”,以展示捉到哪些类型“虫子”可能获得最高奖励。

  优步首席信息安全官约翰·弗林解释,优步方面相信“有奖捉虫项目是现代软件开发一个重要组成部分……有望调动(安全)社区发现最为细微的虫子,大家一起保护用户(信息安全)”。

  近几年,美国企业、政府甚至情报机构都试图利用黑客“资源”。对企业而言,黑客有别于窃取信息牟利的犯罪分子,主动邀请黑客出手,除了可望提早发现破绽,避免犯罪分子得手,还可以与这一群体建立关系,一旦有事“好商量”。(完)