Video: Yahoo! Bug Bounty. Curl argument injection Yahoo small business (Octombrie 2024)
Cercetătorii de securitate specializați în testarea penetrării își petrec zilele (și nopțile) încercând să spargă sistemele de securitate. Dacă găsesc o gaură de securitate într-un produs, înainte ca oamenii răi să le facă, îi oferă producătorului timp să împingă un plasture. Ce este pentru cercetător? Poate o sumă de 100.000 USD pentru bug, dacă problema a fost într-un produs Microsoft. Cercetătorii de la High-Tech Bridge, o firmă de testare a serviciilor de securitate și penetrare, anunță că și Yahoo oferă o recompensă de erori. Primul reporter al unei erori de securitate verificabile primește… 12, 50 USD, rambursabil doar în magazinul companiei Yahoo pentru "tricouri, cupe, stilouri și alte accesorii". Într-adevăr, Yahoo?
Crapat repede
Pagina de securitate la Yahoo Web raportează etapele de securitate deja făcute de companie, împreună cu o colecție de sfaturi. Persoanele care cred că conturile lor au fost hacked sau compromise pot contacta Yahoo de pe această pagină pentru ajutor. De asemenea, se precizează „Dacă sunteți membru al comunității de securitate și trebuie să raportați o vulnerabilitate tehnică, contactați: [email protected].”
Pentru a evalua sistemul Bug Bounty, cercetătorii High-Tech Bridge s-au așezat și au început să caute găuri de securitate pe site-urile Yahoo. Au găsit unul imediat, dar acesta fusese deja raportat. Pe parcursul altor două zile, au descoperit alte trei vulnerabilități de scripturi cross-site, toate noi. (Nu este un lucru alarmant în sine?) Potrivit raportului, „Fiecare vulnerabilități descoperite a permis compromiterea oricărui cont de e-mail @ yahoo.com prin simpla trimitere a unui link special conceput către un utilizator Yahoo conectat." Odată ce utilizatorul face clic pe acel link, este terminat jocul.
Cercetătorii proprii ai Yahoo au verificat că aceste vulnerabilități au existat cu adevărat (de atunci au fost remediate). Aceștia au oferit echipei de cercetare o mulțumire puternică și un premiu de 12, 50 USD pe bug, rambursabil la magazinul companiei. Cercetătorii au fost neimpresionați; Raportul afirmă: „În acest moment am decis să continuăm cercetările ulterioare.”
Bounties mai mari
Microsoft va plăti o sumă de 100.000 USD pentru unele rapoarte. Facebook a plătit peste un milion de dolari. Apple nu plătește bonuri pentru buguri, ci răsplătește „divulgarea responsabilă” cu faimă. Pentru mine, politica de onoare a faimoasei fără numerar de la Apple pare mai bună decât acordarea unei schimbări de chump.
"Yahoo ar trebui probabil să își revizuiască relațiile cu cercetătorii în securitate", a comentat Ilia Kolochenko, CEO al High-Tech Bridge. "Plata mai multor dolari per vulnerabilitate este o glumă proastă și nu îi va motiva pe oameni să le raporteze vulnerabilitățile de securitate, mai ales atunci când astfel de vulnerabilități pot fi vândute cu ușurință pe piața neagră la un preț mult mai mare." El concluzionează că, dacă Yahoo nu cheltuiește mai mult pentru securitatea corporativă, „niciunul dintre clienții Yahoo nu se poate simți vreodată în siguranță”.
Alte companii au cerut răspândirea pentru a-și da seama că recompensele cu bug-uri plătesc timp mare. Acum câțiva ani, Facebook oferea doar 500 de dolari. Mai recent, un cercetător, refuzat o recompensă de Facebook, și-a demonstrat descoperirea prin postarea pe peretele lui Mark Zuckerberg. Brian Martin, președintele Open Security Foundation, a menționat că „Chiar și Microsoft, care a fost cel mai notoriu hold-out la programele de recompense pentru bug-uri, și-a dat seama și a sărit înainte de restul, oferind până la 100.000 USD”. El a continuat să spună: „Unele dintre aceste companii plătesc consilierilor lor mai mulți bani pentru a-și curăța birourile, decât că cercetătorii de securitate găsind vulnerabilități care ar putea pune mii de clienți în pericol”.
Trebuie să fiu de acord. Dacă vânzătorii nu vor plăti descoperirile efectuate de cercetătorii de securitate, există cu siguranță alții care vor. Nu dorim ca acești cercetători deștepți să se îndrepte spre Partea Întunecată pentru a-și hrăni copiii.
