Od kilku lat duża część największych firm internetowych oferuje nagrody za odkrycie błędów w ich serwisach. W Polsce zwyczaj ten do tej pory się nie przyjął, a osoby zgłaszające błędy otrzymują czasem dość zabawne propozycje.
Niedawno media obiegła historia Yahoo, które zaproponowało odkrywcy dwóch błędów typu XSS kupon na zakupy we własnym sklepiku z gadżetami. Kupon o wartości 25 dolarów, po 12,5 za jeden błąd. Odkrywca błędów mógł zatem nabyć koszulkę lub skarpetki z logo firmy – oraz samodzielnie zapłacić kilkadziesiąt dolarów za ich wysyłkę. Yahoo szybko zorientowało się, że popełniło błąd i ogłosiło nowy program wypłat – ze znacznie większymi kwotami. Jak wygląda taki proces w Polsce?
Nasz Czytelnik Denis przesłał nam ciekawą historię. Trzy dni temu odnalazł on dwa błędy typu „persistent XSS” w serwisie Naszej Klasy. Umożliwiały one wstrzyknięcie dowolnego kodu JavaScript do strony i jego wykonanie na komputerach innych osób, które tę stronę odwiedzą. Błędy były dość poważne, ponieważ znajdowały się w miejscach umożliwiających przeprowadzenie ataków o dużej skali.
Pierwszy błąd zlokalizowany był w funkcjonalności Śledzika, a konkretnie w dodawaniu własnego linka. Jedno z pól formularza było podatne na wstrzyknięcie kodu JavaScript – poniżej możecie zobaczyć demonstrację tego błędu.
Wstrzyknięty kod wyświetlał się wszystkim użytkownikom, obserwującym daną osobę, zatem zaatakować można było wszystkich swoich znajomych (lub w przypadku popularnych profili kilkanaście tysięcy osób). Prawdopodobnie możliwe było również stworzenie robaka XSS, który mógł przenosić się z profilu na profil i w krótkim czasie zarazić większość użytkowników.
Drugi błąd występował w formularzu dodawania komentarzy do uruchomionej właśnie usługi „Kino NK”. Każdy użytkownik ma możliwość skomentowania dowolnego filmu, a komentarze wyświetlają się wszystkim osobom, które wejdą na stronę danego filmu, zatem potencjalny zasięg wstrzykniętego kodu mógł obejmować tysiące użytkowników.
Jak pisze nasz Czytelnik, kiedy po trzech dniach od zgłoszenia błędu nie otrzymał ciągle odpowiedzi, zaczął rozsyłać wiadomości na wszystkie adresy nk.pl, jakie znalazł. Wkrótce otrzymał podziękowanie za zgłoszone błędy. Kiedy jednak zapytał, czy firma przewiduje jakieś wynagrodzenie za przekazane informacje, otrzymał taką oto odpowiedź:
Tak, NK.pl zaproponowała wypłatę nagrody w Eurogąbkach. Niestety nie dowiedzieliśmy się, ile Eurogąbek firma chciała zaoferować, ponieważ Denis nie skorzystał z tej hojnej propozycji. Pewnie sporo, skoro utrudnienia w dostępie do serwisu mogą kosztować nawet 60 mln PLN. Ocenę atrakcyjności propozycji zostawiamy Czytelnikom. Zawsze mogli też, wzorem Interii, wcale nie odpisać…
Po przesłaniu przez nas kilku pytań do Naszej Klasy, Denis otrzymał kolejną propozycję – tym razem prawdopodobnie otrzyma jakiś gadżety. Poniżej zamieszczamy odpowiedzi na nasze pytania autorstwa Piotra Młynarczyka, Head of Product w Naszej Klasie Sp. z o.o..
1. Czy nk.pl prowadzi formalny lub nieformalny program typu bug bounty
NK nie prowadzi programu typu „bug bounty” ani w sposób formalny, ani nieformalny. Jednak chętnie przyjmujemy wszystkie zgłoszenia dotyczące bug’ów i „dziur” w naszym serwisie. Każde tego typu zgłoszenie doceniamy, a ich autorom staramy się odwdzięczać w najprostszy z możliwych sposobów, a zatem za pośrednictwem naszych produktów.
2. Jeśli nie, to czy planuje taki uruchomić
W najbliższym czasie nie planujemy uruchomienia programu typu „bug bounty”. Jednak zawsze reagujemy na zgłoszenia, które do nas trafiają.
3. Jakie zazwyczaj formy wynagrodzenia proponuje badaczom zgłaszającym błędy
Najpowszechniejszą formą wynagrodzenia w tym przypadku jest nasza wirtualna waluta – Eurogąbki, które Użytkownicy mogą wykorzystać na portalu NK, na przykład aby obejrzeć filmy z platformy Kino NK, na zakup produktów i aplikacji płatnych, a także na funkcjonalności w grach.
4. Ile eurogąbek wart jest błąd typu persistent xss
W związku z tym, że nie mamy programu typu „bug bounty”, nie definiujemy też polityki w tym zakresie. Każdy przypadek, dotyczący zgłoszenia błędu w funkcjonowaniu portalu, rozpatrujemy indywidualnie. Nie jesteśmy w stanie przeliczyć błędu ani na naszą wirtualną walutę, ani na inne dobra. To wszystko zależy od wielu uwarunkowań.
5. Czy nk uważa, że warto współpracować z niezależnymi odkrywcami zgłaszającymi błędy
Oczywiście. Naszym zdaniem warto współpracować z niezależnymi osobami zgłaszającymi tzw. bugi lub problemy z funkcjonowaniem portalu. Szczególnie wtedy, gdy mimo bieżącego nadzoru i prowadzonych przez wewnętrzny zespół specjalistów testów i kontroli jakości, nie zawsze jesteśmy w stanie zauważyć i zidentyfikować wszystkie błędy w odpowiednio krótkim czasie.
6. Jak szybko poprawione zostały zgłoszone w tym wypadku błędy
W przypadku ostatniego zgłoszonego błędu, został on naprawiony tego samego dnia, w którym informacja o nim trafiła do naszych specjalistów.
Zapraszamy też do dzielenia się własnymi przykładami atrakcyjnych krajowych programów bug bounty.
Komentarze
Co by nie mówić, sam znalazłem błędy typu XSS w dużych polskich serwisach, jednak jaki jest cel ich szukania skoro firmy nie palą się do płacenia za ich znalezienie?
Ba! „Nie palą się do płacenia za ich znalezienie” to jeszcze nic takiego, gorzej jak chcą jeszcze po sądach ciągać i straszą…
Kolejna wspaniała nauczka, że bardziej opłacalne jest sprzedanie na czarnym rynku dziury.
„Jednak chętnie przyjmujemy wszystkie zgłoszenia dotyczące bug’ów i „dziur” w naszym serwisie…” No trudno, żeby stwierdzili „Mamy w dupie te błędy, nie zawracaj głowy”. No trudno, dziś skąpią, innym razem ktoś nie będzie taki miły ;)
Ja pierdole, ale kompromitacja! Tzn. błąd blędem, ludzka rzecz. Ale wyjeżdżanie z bugbounts w formie kurwa eurogąbek to już imho grube przegiecie :D
Jak by mi ktoś w m*** strzelił z rana, poniżej wszelkiej krytyki.
Wprowadze odrobine rownowagi do dyskusji :) zebyscie sie nie kisili w jednym sposobie myslenia.
Bug Bounty, czyli jakakolwiek zaplata za znalezione i przekazane bugi to tylko dobra wola ze strony producenta softu – czy mowimy o Yahoo, Facebooku czy NK. To, ze w Polsce nie ma kultury wynagradzania za info o podatnosciach, jeszcze nie znaczy, ze wszyscy poleca na czarny rynek. Kiedys w ogole nie bylo „zwyczaju” prowadzenia Bug Bounty i co – czy ktokolwiek marudzil z tego powodu?
Z Bug Bounty czy bez – wszystko sprowadza sie do etyki. Zawsze mozesz sprzedac info o dziurze na lewo, zawsze mozesz przeliczac swoje sumienie na pieniadze i zawsze mozesz wybrac miedzy Black Hat a White Hat.
To czy polskie firmy powinny bawic sie w BB czy nie, jest osobna sprawa. Nie jest niczym dziwnym czy odkrywczym, ze daleko nam do Zachodu. Zalosne jest natomiast pisanie o „nauczce”, ze nie warto byc white hatem, bo NK nie placi w PLN tylko EGB. Jak ktos jest ch.jem, to nigdy nie bedzie „warto”.
„(…) a zatem za pośrednictwem naszych produktów (…)” ciekawe czy powierzchnia reklamowa w to też się wlicza?
troche mnie dziwi… kiedys baaardzo mala firma dawala $300 … i dawala naprawde ;)
PR to PR
Ooo, ja za zgłoszenie kilku bugów do o2.pl dostałem nawet ciekawą paczkę ;-)
Dużo dobrych słodyczy, kilka oryginalnych filmów na DVD, jakieś gadgety z tego co pamiętam 8gb pendrive taki fajuśny w kształcie żarówki ;)
Aaa interia już od chyba 5 lat dalej mi leci obiecany kubek za zgłoszony SQLi w cookies ;)
Ja, za to że w pewnym serwisie znalazłem XSSa dostałem konto, które normalnie kosztowałoby 75 zł :P
Kiedyś odkryłem lukę w portalu fotka.pl. Błąd umożliwiał usunięcie dowolnego zdjęcia użytkownika. Zgłosiłem, załatali i do dnia dzisiejszego nie dostałem podziękowania.
Skoro nk.pl tak pogrywa to następnym razem jak ktoś znajdzie jakiś błąd to nie sądzę żeby został im zgłoszony.
To panisko, nie przyjął podarku ale opisał i wyśmiał. Eurogąbka non olet…
Jurokuwagąpki !? Pogięło ich?!
Kasa, kasa , kasa!!! Ach ta komercja…Już nic się dzisiaj hobbystycznie nie robi.
Nić dziwnego, że RSA jeszcze nie złamano skoro nikt palcem nie ruszy jak mu się nie posypie.Dokąd ten świat zmierza?
PS. nk nikogo nie prosiło o szukanie bugów więc nie wiem o ten cały rumor.
To wygląda trochę tak jak natrętne mycie szyb kierowcy i proszenie o zapłatę.Żal.
Ciekawe co dają w bug bounty na ShowUp.tv, pewnie żetony albo prywatny seans :D
„Umyłem przednią szybę w Pana samochodzie, poproszę teraz 2 zł. Dodam, że mogłem równie dobrze ją panu wybić.”
Podsumujmy zatem:
– wykonanie niezamówionego audytu
– nie podpisanie ani nie dochowanie NDA (publikacja luki na youtube)
– roszczenia finansowe do podmiotu z którym nie podpisano żadnej wstępnej umowy
– próba grożenia/zastraszania ewentualnym sprzedawaniem przyszłych luk na czarnym rynku