GearBest

quinta-feira, 24 de março de 2016

Uber explica-se depois de mudar regras para programa de recompensas em falha de segurança

A Uber prometia pagar até US $ 10.000 para erros, e prêmio de fidelidade de 10 por cento para aqueles que apresentarem cinco erros ou mais.


recompença Uber


Desde o inicio da semana quando a Uber lançou seu programa de recompensas para quem encontrar falhas de seguranças que pesquisadores de segurança passaram a trabalhar no código Uber, e logo encontrou alguns problemas. Depois, ao relatar o primeiro à Uber, a empresa multibilionária mudou as regras.

"Eles afirmaram que queriam painéis de login de acesso público", bem como "painéis e portas administrativas expostas", revela um dos pesquisadores.

Um dos pesquisadores afirma que ao relatar um problema foi triado pela Uber, basicamente, afirmando que o bug foi aprovado e não representava uma falha de segurança.

Segundo o pesquisador ele não estava esperando um grande pagamento por ter encontrado tal falha, talvez $ 50 ou algo assim afirma ele, porque não era um grande problema e ele só estava fazendo trabalho básico de reconhecimento nessa fase. Ele disse que desejava que a Uber tivesse deixado os pesquisadores saberem sobre a mudança de regra em vez de ajustar o texto em silêncio, e disse que não vai participar mais, preferindo analisar o código de outras empresas. Outro pesquisador, também relatou uma falha para a qual ele disse que não foi pago.

O gerente de engenharia de segurança da Uber Collin Greene, disse que as regras foram alteradas para que os pesquisadores parem de desperdiçar seu tempo em pequenos bugs. "Ontem nós mudamos a língua na nossa página de recompensas para falhas de segurança e eu queria pedir desculpas para a confusão que isso causou", disse ele, em um comunicado.

Collin Greene disse, "desde que lançamos nosso programa de recompensas ao público na terça-feira, temos reagido aos tipos de questões enviadas e aprendemos a definir melhor o que estamos procurando. Esta mudança foi parte disso, e não um esforço para impedir que alguém ganhe recompensas, a razão pela qual é tão esclarecido para pesquisadores de segurança, cujo tempo é valioso, não gastaria tempo em questões de menor risco como microsites que são susceptíveis de obter uma recompensa".