Cách HackerOne trao quyền cho các tin tặc độc lập để cải thiện bảo mật

0
27

        Việc kích hoạt các chương trình tiết lộ lỗ hổng có trách nhiệm sẽ bảo vệ các công ty và tin tặc trong nỗ lực của họ để loại bỏ các lỗi phần mềm.
    

        
                                                                                    
                        

                 ] ]
    

     Phá vỡ hệ sinh thái tiền thưởng lỗi
     Chúng tôi đang xây dựng một nền tảng thanh toán để tin tặc mũ trắng có thể được thanh toán nhanh chóng và tập trung vào công việc kinh doanh của họ, Rich Arundel, đồng sáng lập và tổng giám đốc của Currencycloud nói.
    

    

Nghiên cứu bảo mật độc lập là một nỗ lực khá khó khăn, khi nền kinh tế biểu diễn đi. Mặc dù số tiền chi trả có thể khá sinh lợi, nhưng tiềm năng các công ty sẽ từ bỏ lời hứa về tiền thưởng lỗi vẫn còn rất cao, và luôn có khả năng bên ngoài rằng một công ty nhận được báo cáo lỗi sẽ đe dọa nhà nghiên cứu hoặc phương tiện truyền thông về hành động pháp lý để thảo luận về nó.

Tuy nhiên, cảnh quan đang được cải thiện, với nhiều công ty chấp nhận tiết lộ lỗ hổng chịu trách nhiệm qua trung gian của bên thứ ba, đảm bảo rằng các nhà nghiên cứu được đền bù xứng đáng cho những nỗ lực của họ (bằng tiền, không phải áo sơ mi) thông qua các nền tảng như HackerOne và Bugcrowd.

XEM: 10 lỗ hổng ứng dụng nguy hiểm cần đề phòng (PDF miễn phí) (TechRepublic)

, Báo cáo bảo mật được cung cấp bởi HackerOne của HackerOne nêu bật những thành công của nền tảng của họ, lưu ý rằng hơn 120.000 lỗ hổng đã được phát hiện, tiết lộ và sửa chữa cho hơn 1.400 tổ chức cho đến nay. 450.000 tin tặc độc lập đã đăng ký trên HackerOne đã kiếm được tổng cộng 62 triệu đô la giải thưởng cho nghiên cứu của họ, trong đó, gần một nửa đã được trao trong năm qua.

Công ty nắm giữ các nền tảng công bố thông tin đã tăng đáng kể với sự tham gia của các văn phòng chính phủ liên bang tăng 214% so với năm trước và sự tham gia của chính quyền thành phố đầu tiên bắt đầu từ năm ngoái. Sự tăng trưởng này được theo sau bởi ô tô (113%), viễn thông (91%), hàng tiêu dùng (64%), và tiền điện tử & blockchain (64%), theo báo cáo. Tương tự như vậy, sáu trong số 10 ngân hàng hàng đầu ở Bắc Mỹ đang tham gia vào HackerOne.

Chất lượng vụng trộm trong trường hợp này, tương đương với mức độ nghiêm trọng của các lỗ hổng được tìm thấy cũng rất quan trọng. Đây không phải là một trường hợp tin tặc tìm kiếm trái cây treo thấp nhất cho một ngày thanh toán nhanh chóng. "Một phần tư các lỗ hổng hợp lệ được tìm thấy được phân loại là có mức độ nghiêm trọng cao hoặc nghiêm trọng", báo cáo nêu rõ. "Khi một chương trình tiền thưởng lỗi mới được tung ra, trong 77% các trường hợp, tin tặc tìm thấy lỗ hổng hợp lệ đầu tiên trong 24 giờ đầu tiên. Đó là cách bảo mật có thể cải thiện nhanh chóng khi tin tặc được mời đóng góp."

Tương tự như vậy, nền tảng mở ra cơ hội cho tin tặc trên toàn thế giới. "Số lượng các chương trình bảo mật do tin tặc cung cấp đã tăng ít nhất 30% ở mỗi khu vực", báo cáo nêu rõ, "với châu Mỹ Latinh dẫn đầu gói một lần nữa với mức tăng trưởng hàng năm hơn 41%,
tiếp theo là miền Bắc Mỹ (34%), EMEA (32%) và APAC (30%). "

Các tin tặc đến từ Mỹ kiếm được 19% tổng số tiền thưởng năm ngoái, tiếp theo là Ấn Độ (10%), Nga (6%), Canada (5%) và Đức (4%). Canada là quốc gia tăng trưởng cao nhất trong top 5, với số tiền thưởng kiếm được nhiều hơn 148% trong năm 2018 so với năm 2017. Tương tự như vậy, "tin tặc Prolific cư trú ở Ai Cập, Argentina, Thụy Điển và Thái Lan, mỗi nhóm có tin tặc kiếm được 200% hoặc nhiều hơn so với năm trước ", báo cáo nêu rõ," tin tặc Thái Lan kiếm được nhiều hơn 46% so với năm 2017 ".

Làm thế nào để không chạy chương trình bảo mật do hacker cung cấp

Valve, nhà điều hành nền tảng trò chơi nổi tiếng Steam, đã bị hỏa hoạn vào đầu tháng này vì đã xử lý các báo cáo của Vasily Kravets, sau một tranh chấp. Kravets đã phát hiện ra một lỗi leo thang đặc quyền, được Valve tuyên bố là nằm ngoài phạm vi, nó không thể được sử dụng bởi một tác nhân đe dọa để giành quyền kiểm soát máy tính từ xa, chỉ một máy tính cục bộ.

Mặc dù ban đầu Valve không có ý định vá lỗi, Valve và HackerOne đã cấm Kravets tiết lộ vấn đề này một cách công khai, ngăn chặn hiệu quả 90 triệu người dùng hàng tháng của Steam tìm hiểu về nó. Valve đã nhanh chóng cấm Kravets khỏi chương trình tiền thưởng lỗi, mặc dù đã đảo ngược quyết định đó ngay sau đó, gọi đó là "một sai lầm".

Để biết thêm, hãy xem "Làm thế nào Không quân sử dụng chương trình tiền thưởng lỗi để hack máy chủ đám mây của riêng mình" và "Tiền thưởng lỗi có giúp bảo mật nguồn mở không?" trên TechRepublic.

                                                                                

                                                

Cũng xem

 istock-960937636-1.jpg "width =" 770 "/> </span><figcaption>
<p>
                                            oatawa, hình ảnh Getty / iStockphoto<br />
                                        </p>
</figcaption></figure>
<div class=