Uber actualiza su Bug Bounty en respuesta a la brecha de seguridad sufrida

También puedes leer... Privacidad y protección de datos en aplicaciones móviles Haciendo frente a la PSD2 Cambios de Paradigma en Seguridad DMARC, protegiendo el email Nuevo paradigma en la confianza

El pasado mes de noviembre salió a la luz que Uber había sufrido una brecha de seguridad afectó a 57 millones de clientes, que la había ocultado durante un año y que había pagado a los hackers más de cien mil dólares.

Ahora la compañía anuncia cambios en su Bug Bounty, su programa de recompensas. Por la parte de la privacidad y la ética, y para empezar, Uber actualizará los términos de su programa para definir qué considera la compañía que es una investigación de vulnerabilidades “de buena fe”; añade la compañía que no perseguirá ni recomendará acciones legales contra los hackers que presenten los fallos a través del programa de recompensas. Dice también Uber que incluso ofrecerá apoyo a cualquiera de estos hackers de buena fe que se enfrentan a litigios de otras compañías como resultado de la búsqueda de vulnerabilidades de Uber.

Desde agosto de 2017 Uber ha pagado más de 290.000 dólares por unos 200 fallos de seguridad detectados, lo que eleva a 1,45 millones de dólares la cantidad pagada desde el lanzamiento de su Bug Bounty Program. Uber pafa entre 500 y 10.000 dólares por vulnerabilidad detectada, aunque ha llegado a pagar 20.000 dólares por problemas serios.

La actualización del programa se produce meses después de conocerse la brecha de seguridad que ocupó titulares durante algunos días. Según se explicó, en noviembre de 2016 un individuo contactó con el equipo de seguridad de Uber asegurando haber accedido a los datos de los clientes y reclamando el pago de una cantidad de seis cifras. Después de las pertinentes confirmaciones, la compañía decidió pagar al ciberdelincuente 100.000 dólares a través de HackerOne para que destruyeran los datos.

El CISO de Uber admitiría después, en una sesión en el Senado, que se equivocaron en no informar sobre la brecha mucho antes y en haber utilizado su programa de recompensas para tratar con los extorsionadores.

Además de los cambios en el programa, la compañía anuncia el lanzamiento de un programa piloto en que las recompensas pueden ser donadas a alguna obra de caridad a través de HackerOne.