【兩百萬當係碎銀】Uber狂派賞金挽商譽
呢個世界好難有完美嘅事,就算你砌咗隊好勁嘅班底去搞 app,出嚟嘅製成品都總會有瑕疵。不過,其實大家都接受晒啲 app 有 bug,最重要係開發商反應夠快兼唔好推三推四,先至唔會釀成關公災難!
講緊嘅係 Uber,呢間今年 IPO 集資最多嘅創科企業,絕對有資格請最好嘅工程師同埋程式員去做好隻 app 啦,但係都唔保證唔會出事,好似 2016 年 Uber 已經衰過一鑊,將幾百萬司機同乘客嘅個人資料外洩,結果要賠成 1.48 億美元先平息到件事,但賠錢事小,商譽受損事大,當時行政總裁 Dara Khosrowshahi 就話會積極補救,去挽回顧客信心。
當然啦,呢啲門面說話係 CEO 都識講,但係佢真係落實執行,喺 HackerOne 成立賞金平台(Bug Bounty Program),重金獎勵舉報 Uber漏洞嘅人。最新一個賞金得主係 AppSecure 創辦人 Anand Prakash,佢發現只要向任何 Uber 用家(包括乘客、司機同埋 Uber Eats 用家)發出 API 請求,攞到對方帳戶嘅 UUID,就可以用嚟攞到用家嘅個人資料,包括地址及付款資料,甚至叫車,於是佢就喺 HackerOne 舉報呢個漏洞,仲拍埋片證明點樣可以做得到。
Prakash 今年 4 月 19 日舉報,Uber 一星期後(26日)已經搵到解決方法,提供新版本俾 Uber 用家下載,回應速度快到得人驚,而 Prakash 就獲得 6500 美元獎金,正所謂「重賞之下必有勇夫」,Uber 發言人話佢哋已透過賞金平台發放咗 200 萬美元獎金俾 600 位研究員,計算條數平均每個漏洞都係 3000 美元,相比起 1.48 億罰款,呢條數都係抵到爛啦!
