Prawdopodobnie najłatwiej zarobione 40 tysięcy dolarów w historii

Programy bug bounty to dla wielu ludzi sposób zarobku na życie. Za wykrycie niektórych podatności firmy technologiczne płacą nawet w pięciocyfrowych sumach. W większości przypadków, hakerzy muszą się sporo napracować, aby wykryć podatność.

/fot. GettyImages
/fot. GettyImages
Arkadiusz Stando

14.03.2021 17:51

Jednak przypadek, na który natrafił portal Sekurak, jest zupełnie inny. Użytkownik platformy HackerOne o pseudonimie TomNomNom wykrył bardzo krytyczną podatność Ubera, która w otrzymała aż 9/10 punktów w skali zagrożenia. Problem zaobserwowany przez eksperta nie dotyczył jednak żadnej bezpośredniej luki w systemie.

Uber opisał zdarzenie w ten sposób: "Znaleziono nazwę użytkownika i certyfikat, które umożliwiają dostęp API do Phabricator na code.uberinternal.com. Dostęp do tego interfejsu API mógł pozwolić na ujawnienie kodu źródłowego i prywatną instancję phabricator Ubera". W skrócie: kod źródłowy Ubera mógł wykraść każdy.

TomNomNom natrafił na ten login i certyfikat podczas przeglądania GitHuba. Finalnie za wykrycie nieodpowiedniego sposobu przechowywania wrażliwych informacji Uber zapłacił znalazcy 39999,99 dolarów, czyli przy obecnym kursie ponad 153 tysiące złotych. To spora nagroda, bo według średniej w platformie HackerOne, Uber płaci od 500 do 750 dolarów za wykrycie luki.

Zgłoszenie zostało przyjęte 29 maja 2019 roku, a firma ujawniła sprawę 25 lutego 2021 roku. Co ciekawe, TomNomNom poprosił o upublicznienie tego raportu 18 kwietnia 2020 roku. Firma rozwiązała swoje problemy już w czerwcu 2020 roku i wypłaciła nagrodę. Najwyraźniej incydent mógł być na tyle niebezpieczny, że Uber zdecydował się wstrzymać z ujawnieniem wpadki jeszcze przez rok.

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (23)