Allegro uruchamia pierwszy duży, publiczny program bug bounty w Polsce
Facebook, Google, Intel, Snapchat, Cisco, Mozilla, Twitter, Dropbox, Uber – wszystkie te marki oferują od dawna programy bug bounty. Polskie firmy musiały dopiero do tego rozwiązania dorosnąć – a drogę przecierać będzie w naszym kraju Allegro.
Program bug bounty to formalne zaproszenie badaczy do zgłaszania odnalezionych podatności i obietnica określonej nagrody za odkryte błędy. Z reguły zasady opisane są w regulaminach wraz z zakresem usług, które są objęte programem, a w realizacji zadań firmę często wspiera profesjonalny organizator procesu zgłaszania i obsługi błędów. Niejeden badacz (także z Polski) z uczestnictwa w programach bug bounty uczynił sobie stałe źródło dochodów. Konkurencja jest spora, ale dla utalentowanych poszukiwaczy podatności pole do popisu jest także niemałe. Pole to właśnie powiększa Allegro.
To nie pierwszy polski program, ale pierwszy tak dużej firmy powstałej w Polsce
Szukając historii programów bug bounty w Polsce, natrafiliśmy między innymi na firmę Shoper, która taki program uruchomiła już jakiś czas temu. Także niemało firm działających w Polsce, choć posiadających centralę poza naszym krajem, oferuje programy bug bounty – warto tu wymienić chociażby bank ING, serwis Pyszne.pl czy firmę OVH. Według naszej wiedzy Allegro jest obecnie największym polskim serwisem, który zdecydował się iść w tym kierunku.
Kilka słów o otwieranym programie
Kiedy dowiedzieliśmy się o inicjatywie Allegro, poprosiliśmy o kilka dodatkowych informacji. Na nasze pytania odpowiedzieli Wojciech Lesicki (Team Leader) i Sebastian Kaniewski (Team Manager) z IT Security.
Kiedy i jak powstał program bug bounty?
Program bug bounty działa w Allegro od 2018 roku jako projekt niepubliczny, do którego dostęp ma zamknięta grupa zaproszonych przez nas specjalistów zajmujących się bezpieczeństwem. Od samego początku współpracujemy z HackerOne i jesteśmy zadowoleni z naszej współpracy.
Jak oceniacie dotychczasowe wyniki?
Specjalny zespół ds. bezpieczeństwa Allegro pomaga programistom tworzyć bezpieczny kod. Ich zadaniem jest również przewidywanie możliwych ataków na platformę i zapobieganie im. To nieustanny wyścig, w którym wykorzystujemy również wiedzę i umiejętności firm zewnętrznych w ramach różnego rodzaju testów i audytów bezpieczeństwa. Prowadząc analizy od wewnątrz organizacji, możemy jednak coś przegapić. Program bug bounty nie daje nam oczywiście gwarancji, że każda luka zostanie wykryta, ale jest to kolejna warstwa zabezpieczeń, która pomaga nam chronić naszą platformę przed atakami. Dotychczasowe efekty programu bug bounty są bardzo obiecujące. Znaleźliśmy luki, które usunęliśmy, czyniąc nasze systemy jeszcze bezpieczniejszymi.
Które ze zgłoszeń były najciekawsze?
Dwa najciekawsze przypadki to Blind XSS oraz błąd w procesie zakupowym. Nie odnotowaliśmy żadnych przypadków RCE.
Ile błędów i jakiego rodzaju, jak dotąd, usunęliście oraz jakie kwoty wypłaciliście?
Jak dotąd, otrzymaliśmy ok. 270 zgłoszeń dotyczących możliwych błędów, z których po analizie ok. 100 okazało się potencjalnymi lukami w naszym środowisku, które wyeliminowaliśmy. Główne kategorie błędów to XSS, CSRF i IDOR. Za wykrycie wszystkich z nich wypłaciliśmy łącznie 40 tys. dolarów.
Ile czasu przeciętnie zajmuje naprawa błędu?
Czas potrzebny na naprawienie luki w systemie zabezpieczeń zależy od jej „krytyczności”. Nasze zespoły bardzo poważnie podchodzą do wszystkich zgłoszeń i po ocenie potencjalnych skutków usuwają każdą lukę zgodnie z obowiązującymi procedurami. Wszystko zależy też od części infrastruktury platformy, w której wykryto lukę oraz złożoności problemu.
Dlaczego zdecydowaliście się na uruchomienie programu publicznego właśnie teraz?
Zapewnienie bezpieczeństwa to proces wymagający stałej uwagi. Każdego dnia szukamy nowych rozwiązań, aby lepiej chronić naszych użytkowników i transakcje przeprowadzane na platformie. Mamy dobre doświadczenia z organizacją niepublicznych programów bug bounty wspólnie z HackerOne. Allegro otwiera się na coraz większą liczbę pentesterów/analityków, aby jeszcze szybciej wykrywać ewentualne luki w naszej infrastrukturze.
Co obejmuje program?
Programem publicznym objęte jest środowisko testowe Allegro https://allegro.pl.allegrosandbox.pl/, wykorzystywane przez nas i naszych partnerów do prowadzenia testów.
Jakie kwoty wypłacacie za wykrycie błędu?
Nagroda za wykrycie luki to od 200 do 3000 dolarów. W niektórych przypadkach nagroda może być wyższa, jeżeli błąd okaże się krytyczny.
Dlaczego organizujecie program we współpracy z platformą zewnętrzną?
HackerOne zapewnia dostęp do specjalistów o odpowiednich kwalifikacjach, którzy przeprowadzają zaawansowane testy bezpieczeństwa. Dzięki wiedzy i doświadczeniu HackerOne jest pierwszą linią wsparcia, która przeprowadza wstępną weryfikację luki. HackerOne zapewnia również wsparcie w procesie przekazywania nagrody.
Kiedy będzie można rozpocząć testy?
Program publiczny uruchamiamy 14 października 2019 roku.
Podsumowanie
Jak zatem widzicie, okazuje się, że Allegro prowadziło już wcześniej program bug bounty, lecz w formie zamkniętej, tylko dla zaproszonych badaczy. To dobry pomysł, by w kontrolowany sposób zacząć przygodę z tym pomysłem, zweryfikować dojrzałość swoich systemów i dobrze przygotować się na napływającą falę zgłoszeń. Bez wątpienia decyzja o uruchomieniu bug bounty musi być dobrze przemyślana – historia zna przypadki, gdy takie programy były zamykane drugiego dnia z powodu braku odpowiedniego finansowania i zbyt dużej liczby zgłaszanych błędów. Warto też pamiętać, że badacze nie lubią, gdy płaci się im w eurogąbkach, a podatności w niektórych serwisach mogą być sporo warte na czarnym rynku. Trzymamy kciuki za inicjatywę Allegro, a poszukiwaczom błędów życzymy udanych łowów. Gdy program ruszy, będzie dostępny pod adresem https://hackerone.com/allegro.
Podobne wpisy
- CSO Grupy Allegro, Michał Wierucki, gościem Rozmowy Kontrolowanej w niedzielę o 21
- Oh My H@ck 2021 już za tydzień, dzisiaj wygraj wejściówki i posłuchaj o programie
- Wszystko, co chcieliście wiedzieć o błędach SSRF, ale baliście się zapytać
- Uwaga kupujący na Allegro – pojawił się nowy wariant oszustwa z wyłudzeniem danych karty
- 51 potwierdzonych wykładów na Oh My H@ck – zobacz, co przygotowałem
> „Kiedy dowiedzieliśmy się o inicjatywie Allegro…” – jesteście pierwsi z tą rewelacją o jakiej nie widać info nawet w aktualnościach Allegro – czyżby art sponsorowany?
Poza tym:
> „Allegro jest obecnie największym polskim serwisem, który zdecydował się iść w tym kierunku” – ani nie jest pierwszym serwisem, ani tym bardziej (w porównaniu do wymienionych mniejszych firm) nie jest polskim serwisem.
No i:
> „Gdy program ruszy, będzie dostępny pod adresem…” – program już ruszył – czyli kopiuj&wklej notatka prasowa bez sprawdzenia. Adam, nie idź w tę stronę.
Nie jest sponsorowany, ponieważ nikt nam za niego nie zapłacił. A tekst był opublikowany zanim program ruszył, stad takie sformułowanie. Oprócz cytatów w wywiadzie nie było żadnego kopiuj-wklej.
Sprytnie, 160 tys za rok, bledow wykryte pewnie wiecej niz etatowy pentester by wykryl, odpadaja koszty poza pensja (biuro, socjal, zarzadzanie, zoobowiazania etc.). W sumie te 160 tys to by na sprytnego studenta starczylo.
Tia… naprawiają błędy. A od lat jest jeden podstawowy. Mianowicie płatność elektroniczna przez ten ich kulawy PayU. Zawsze co mi ktoś zapłaci przez to goowno (mimo, ze zawsze na każdej aukcji umieszczam w stopce informację o problemach z PayU)to kasa mi przez ten allegrowy syf dochodzi czasem po 3-7 dniach a czasem nawet po miesiącu. A potem kupujący się wnerwia czemu mu od razu nie wysyłam paczki. No bo jak kasy na koncie mie ma za rzecz to jak mam mu wysyłać? Dlatego pod każda akcją umieszczam tekst: „Płatność przelewem. Z PayU od allegro bywa różnie i nie zawsze od razu pieniądze dochodzą (czasem od razu dochodzą a czasem po miesiącu). Mailem wyślę namiary na konto.” i wolę przelewem zwykłym bo mam na drugi dzień a nie w ciągu 3-7 dni albo i nawet miesiąca!
no ale przecież to właśnie o to ma chodzić w payu… a jak tak piszesz to dziwne że nie boją się oszustwa
wracaj na zjednoczonych malkontentów
A niby czemu to kupujący ma pierwszy zapłacić? Wg. ustawy powinna być możliwa jednoczesna wymiana świadczeń przy sprzedaży online. Równie dobrze możesz wysłać jako pierwszy. Kupujący też zastanawia się czy wyśles, towar.
1. PayU nie jest własnością Allegro. Kiedyś był wspólny właściciel Allegro i PayU ale to od lat jest już nieaktualne.
2. Jesteś pewien że to tylko PayU? a nie np. Przelewy24, również zintegrowane w Allegro?
3. Mało kto czyta takie dopiski w ofertach na Allegro. Towar się zgadza to płacę i mam w poważaniu jakieś wydumki sprzedawcy. Dla mnie (kupującego) miejscem zakupu jest Allegro i cieszę się, że jest to jednolite. Możesz pisać, nie bronię. Ale czytanie tego jest niepotrzebne bo i tak regulamin Allegro reguluje takie rzeczy.
4. Przetrzymując towar póki trzecia strona (nie klient, ale system płatności) nie wykona obowiązku przekazania kasy powodujesz u klienta zniechęcenie. Klient zapłacił i oczekuje wysyłki w ASAPie. Rozumiem że masz małe zaufanie do platformy ale nie wróżę sukcesów z takim podejściem – klienta twój brak zaufania do strony trzeciej nie obchodzi. On zaufał i wpłacił kasę, trzecia strona potwierdziła to obu pozostałym. Kasa gdzieś może i utyka, ale co to obchodzi Klienta?
Regulamin regulaminem, a prawo nad regulaminem prawem. Kiedyś analizowałem legalność takiego działania i sprzedawca jak najbardziej ma prawo wysłać towar dopiero po przekazaniu środków do jego dyspozycji.
W Allegro w opcjach sprzedaży można ustawić kiedy ma być wypłacana kasa na konto, np. codziennie albo po uzbieraniu odpowiedniej kwoty -domyślnie to jest zdaje się 20zł i dopóki się tyle nie uzbiera to kasa nie wyjdzie. Radzę się zainteresować tymi ustawieniami i je po prostu zmienić zamiast pisać nowy regulamin dla kupujących. Ja jak widzę opis, że płatność tylko przelewem, to omijam szerokim łukiem, bo nie mam żadnej gwarancji, że sprzedający nie zmieni nr konta w opisie i nie będzie mi potem wciskał, że przelew z mojej winy nie dotarł.