優步懸賞黑客“捉蟲”

【亞太日報訊】（記者徐勇）美國優步公司２２日在網站首頁貼出一份公告，標題為“歡迎所有人為領取獎金而‘捉蟲’”，懸賞最高１萬美元的獎金邀請外界人士查找程序漏洞，以強化這家企業的信息系統安全。

所謂“蟲”（ｂｕｇ），在電腦及關聯行業是一個俗稱，特指硬件軟件缺陷或漏洞，如果與網絡相關則可能成為非法侵入的通道。新的硬件和軟件都要不斷調試排除漏洞才會趨於成熟，這也被稱為“捉蟲”。

優步創始於舊金山，以移動應用軟件提供“拼車”服務，目前已擴展到幾十個國家、幾百座城市，因而數據安全尤為重要。它介紹說，去年發起一個“試用版有獎捉蟲”項目，不公開邀請超過２００名信息安全“研究人員”參與，捉到近１００個“蟲子”。

那批蟲子業已“殺滅”，企業數據安全得以改善，優步決定啟動“正式版有獎捉蟲”，又稱“忠誠獎勵計劃”，以鼓勵企業以外的人士繼續“深度捉蟲”。

按優步的說法，參與者將是信息技術“安全社區成員”。但是，按照一些分析師的解讀，優步邀請的對象，不會是安全服務供應商的僱員，只可能是所謂“獨立研究人員”，也就是常人所稱的黑客。

優步說，它製作了一份指南，將定期更新併發布，以便了解企業電腦系統軟件內可能存在的不同類型“蟲子”。

項目“第一季”將從今年５月１日開始，持續９０天。任何受邀人士發現系統內４個“問題”，由優步認定確實是安全漏洞，就有資格獲得獎勵；如果發現４個以上將獲得額外獎勵；要獲得１萬美元的最高獎金，需發現“極為嚴重的問題”，也可以說“可能致命的蟲子”。

優步承諾將盡可能保持透明，公開“蟲子”落網情況，在當事者允許情況下發佈已經捉到的“最高品質蟲子”，以展示捉到哪些類型“蟲子”可能獲得最高獎勵。

優步首席信息安全官約翰·弗林解釋，優步方面相信“有獎捉蟲項目是現代軟件開發一個重要組成部分……有望調動（安全）社區發現最為細微的蟲子，大家一起保護用戶（信息安全）”。

近幾年，美國企業、政府甚至情報機構都試圖利用黑客“資源”。對企業而言，黑客有別於竊取信息牟利的犯罪分子，主動邀請黑客出手，除了可望提早發現破綻，避免犯罪分子得手，還可以與這一群體建立關係，一旦有事“好商量”。