Allegro uruchamia pierwszy duży, publiczny program bug bounty w Polsce

dodał 13 października 2019 o 20:09 w kategorii Błędy, Info  z tagami:
Allegro uruchamia pierwszy duży, publiczny program bug bounty w Polsce

Facebook, Google, Intel, Snapchat, Cisco, Mozilla, Twitter, Dropbox, Uber – wszystkie te marki oferują od dawna programy bug bounty. Polskie firmy musiały dopiero do tego rozwiązania dorosnąć – a drogę przecierać będzie w naszym kraju Allegro.

Program bug bounty to formalne zaproszenie badaczy do zgłaszania odnalezionych podatności i obietnica określonej nagrody za odkryte błędy. Z reguły zasady opisane są w regulaminach wraz z zakresem usług, które są objęte programem, a w realizacji zadań firmę często wspiera profesjonalny organizator procesu zgłaszania i obsługi błędów. Niejeden badacz (także z Polski) z uczestnictwa w programach bug bounty uczynił sobie stałe źródło dochodów. Konkurencja jest spora, ale dla utalentowanych poszukiwaczy podatności pole do popisu jest także niemałe. Pole to właśnie powiększa Allegro.

To nie pierwszy polski program, ale pierwszy tak dużej firmy powstałej w Polsce

Szukając historii programów bug bounty w Polsce, natrafiliśmy między innymi na firmę Shoper, która taki program uruchomiła już jakiś czas temu. Także niemało firm działających w Polsce, choć posiadających centralę poza naszym krajem, oferuje programy bug bounty – warto tu wymienić chociażby bank ING, serwis Pyszne.pl czy firmę OVH. Według naszej wiedzy Allegro jest obecnie największym polskim serwisem, który zdecydował się iść w tym kierunku.

Kilka słów o otwieranym programie

Kiedy dowiedzieliśmy się o inicjatywie Allegro, poprosiliśmy o kilka dodatkowych informacji. Na nasze pytania odpowiedzieli Wojciech Lesicki (Team Leader) i Sebastian Kaniewski (Team Manager) z IT Security.

Kiedy i jak powstał program bug bounty?

Program bug bounty działa w Allegro od 2018 roku jako projekt niepubliczny, do którego dostęp ma zamknięta grupa zaproszonych przez nas specjalistów zajmujących się bezpieczeństwem. Od samego początku współpracujemy z HackerOne i jesteśmy zadowoleni z naszej współpracy.

Jak oceniacie dotychczasowe wyniki?

Specjalny zespół ds. bezpieczeństwa Allegro pomaga programistom tworzyć bezpieczny kod. Ich zadaniem jest również przewidywanie możliwych ataków na platformę i zapobieganie im. To nieustanny wyścig, w którym wykorzystujemy również wiedzę i umiejętności firm zewnętrznych w ramach różnego rodzaju testów i audytów bezpieczeństwa. Prowadząc analizy od wewnątrz organizacji, możemy jednak coś przegapić. Program bug bounty nie daje nam oczywiście gwarancji, że każda luka zostanie wykryta, ale jest to kolejna warstwa zabezpieczeń, która pomaga nam chronić naszą platformę przed atakami. Dotychczasowe efekty programu bug bounty są bardzo obiecujące. Znaleźliśmy luki, które usunęliśmy, czyniąc nasze systemy jeszcze bezpieczniejszymi.

Które ze zgłoszeń były najciekawsze?

Dwa najciekawsze przypadki to Blind XSS oraz błąd w procesie zakupowym. Nie odnotowaliśmy żadnych przypadków RCE.

Ile błędów i jakiego rodzaju, jak dotąd, usunęliście oraz jakie kwoty wypłaciliście?

Jak dotąd, otrzymaliśmy ok. 270 zgłoszeń dotyczących możliwych błędów, z których po analizie ok. 100 okazało się potencjalnymi lukami w naszym środowisku, które wyeliminowaliśmy. Główne kategorie błędów to XSS, CSRF i IDOR. Za wykrycie wszystkich z nich wypłaciliśmy łącznie 40 tys. dolarów.

Ile czasu przeciętnie zajmuje naprawa błędu?

Czas potrzebny na naprawienie luki w systemie zabezpieczeń zależy od jej „krytyczności”. Nasze zespoły bardzo poważnie podchodzą do wszystkich zgłoszeń i po ocenie potencjalnych skutków usuwają każdą lukę zgodnie z obowiązującymi procedurami. Wszystko zależy też od części infrastruktury platformy, w której wykryto lukę oraz złożoności problemu.

Dlaczego zdecydowaliście się na uruchomienie programu publicznego właśnie teraz?

Zapewnienie bezpieczeństwa to proces wymagający stałej uwagi. Każdego dnia szukamy nowych rozwiązań, aby lepiej chronić naszych użytkowników i transakcje przeprowadzane na platformie. Mamy dobre doświadczenia z organizacją niepublicznych programów bug bounty wspólnie z HackerOne. Allegro otwiera się na coraz większą liczbę pentesterów/analityków, aby jeszcze szybciej wykrywać ewentualne luki w naszej infrastrukturze.

Co obejmuje program?

Programem publicznym objęte jest środowisko testowe Allegro https://allegro.pl.allegrosandbox.pl/, wykorzystywane przez nas i naszych partnerów do prowadzenia testów.

Jakie kwoty wypłacacie za wykrycie błędu?

Nagroda za wykrycie luki to od 200 do 3000 dolarów. W niektórych przypadkach nagroda może być wyższa, jeżeli błąd okaże się krytyczny.

Dlaczego organizujecie program we współpracy z platformą zewnętrzną?

HackerOne zapewnia dostęp do specjalistów o odpowiednich kwalifikacjach, którzy przeprowadzają zaawansowane testy bezpieczeństwa. Dzięki wiedzy i doświadczeniu HackerOne jest pierwszą linią wsparcia, która przeprowadza wstępną weryfikację luki. HackerOne zapewnia również wsparcie w procesie przekazywania nagrody.

Kiedy będzie można rozpocząć testy?

Program publiczny uruchamiamy 14 października 2019 roku.

Podsumowanie

Jak zatem widzicie, okazuje się, że Allegro prowadziło już wcześniej program bug bounty, lecz w formie zamkniętej, tylko dla zaproszonych badaczy. To dobry pomysł, by w kontrolowany sposób zacząć przygodę z tym pomysłem, zweryfikować dojrzałość swoich systemów i dobrze przygotować się na napływającą falę zgłoszeń. Bez wątpienia decyzja o uruchomieniu bug bounty musi być dobrze przemyślana – historia zna przypadki, gdy takie programy były zamykane drugiego dnia z powodu braku odpowiedniego finansowania i zbyt dużej liczby zgłaszanych błędów. Warto też pamiętać, że badacze nie lubią, gdy płaci się im w eurogąbkach, a podatności w niektórych serwisach mogą być sporo warte na czarnym rynku. Trzymamy kciuki za inicjatywę Allegro, a poszukiwaczom błędów życzymy udanych łowów. Gdy program ruszy, będzie dostępny pod adresem https://hackerone.com/allegro.