Herkese merhaba ve ZDNet’in günlük editoryal podcast’i ZDTech’e hoş geldiniz. Benim adım Louis Adam ve bugün size bug bounty programlarının bazen nasıl yanlış gidebileceğini anlatacağım.
zaten bahsettik böcek ödülü. Bu programlar, güvenlik araştırmacılarının bilgisayar güvenlik açıklarını bildir şirketlere, bazen önemli meblağlara varabilen ikramiyeler karşılığında. Kağıt üzerinde bu harika bir fikir: şirketlerin güvenlik açıklarını düzeltmesine ve bağımsız araştırmacıların ödeme almasına olanak tanıyor. Ne yazık ki, işler her zaman planlandığı gibi gitmez.
Birincisi, denilen şeyle ilgili çetrefilli meseleler var. “kapsam”, yani bug bounty programının kapsamı. Bir şirket bir hata ödülü başlatmaya karar verdiğinde, genellikle çerçeve şeyler. İkramiyelerin yalnızca bazı uygulamaları veya hizmetleri için ödendiğini veya belirli türdeki hataların ücrete yol açmadığını duyurur. Ve bu çerçevenin yorumlanması bazen hayal kırıklıklarına yol açabilir.
Bu, bir güvenlik araştırmacısının Valve şirketi tarafından yayınlanan Steam uygulamasındaki kusurları bildirdikten sonra 2019’da karşılaştığı talihsizliktir. araştırmacı buldu ayrıcalık yükselmesine izin veren bir kusur Steam aracılığıyla. Bu nedenle, Valve’ın o sırada sektördeki Amerikan şirketi lideri HackerOne tarafından yönetilen hata ödül programı aracılığıyla bu kusuru bildirmeye çalıştı. Basitçe Valve vardı bu tür bir güvenlik açığı için ödeme yapma planı yok.
Bu nedenle araştırmacı, şirketi kusurun ciddiyetine ikna etmeyi başaramadan, bunu kamuoyuna açıklamak, bu, şirket tarafından yukarı yönde düzeltilmeden. Yanıt olarak, Valve araştırmacıyı yasakladı, bilgisayar güvenliği topluluğunda küçük bir skandala neden oldu. Ve Valve sonunda düzeltme yaptı: araştırmacıyı programına yeniden dahil ederek, keşfedilen kusurları düzelterek ve hata ödülünün kapsamını değiştirerek.
Ama daha kötü olabilirdi. Bazen hata ödülleri kullanılır gerçek saldırıları örtbas et. Uber’deki eski güvenlik şefinin 2016’da yapmaya çalıştığı şey aşağı yukarı bu.
O sırada iki siber suçlu, uygulamayı kullanarak 57 milyon sürücü ve yolcunun verilerine erişmeyi başardı. Grubun yepyeni güvenlik direktörü için kötü haber. Ama bunun bir fikri var. Siber suçlularla temasa geçer ve onlara sessizliklerini satın almak için Bitcoin’de 100.000 dolarlık bir ödül için. Şirketin hata ödül programlarının kaçırılması, ona işine ve ciddi yasal sorunlara mal oldu.
Ancak yöntem taklit edildi: Son aylarda saldırıya uğrayan birçok merkezi olmayan finans hizmeti arasında, bazıları bunu yapmaktan çekinmiyor. saldırgana ödül teklif etmek ikincisi çalınan fonları iade etmeyi kabul ederse. Bunu Akropolis’te, aynı zamanda Wormhole’da veya QuBit Finance’te gördük.