:) Poważny błąd w Slacku i bug bounty 12,5 dolara
Adam Haertle dodał 9 maja 2015 o 13:47 w kategorii FunSec
z tagami: bug bounty • Slack
Slack to bardzo popularne narzędzie do komunikacji grupowej, stosowane przez wiele zespołów na całym świecie. Niedawno firma otrzymała nietypowe zgłoszenie o błędzie w ramach programu bug bounty zarządzanego przez platformę HackerOne – i potraktowała je bardzo poważnie. Polecamy lekturę wymiany wiadomości. Warto także zauważyć, że firma przyznała nagrodę finansową za zgłoszony błąd.
Wymiana wiadomości
Choć nie zachęcamy do traktowania w tak poważny sposób każdego „rozrywkowego” zgłoszenia, to zachęcamy do uruchomienia programu bug bounty – wg naszej wiedzy nikt w Polsce jeszcze takiego nie prowadzi, więc zawsze można zgarnąć palmę pierwszeństwa.
Podobne wpisy
- Allegro uruchamia pierwszy duży, publiczny program bug bounty w Polsce
- Polacy rządzą wśród łowców błędów w usługach i produktach Google
- RCE na serwerze Facebooka za $40k z użyciem błędu sprzed 5 miesięcy
- Przejmowanie kont Gmaila czyli w poszukiwaniu granic ignorancji i absurdu
- Gdzie leży granica bug bounty czyli ciekawy przypadek kluczy AWS Instagrama
Może każdy rozumie, że takim programem sprowokuje ataki na swoja stronę. A mało kto jest na tyle pewny tak swoich systemów, jak i uczciwości „badaczy zabezpieczeń” – skad pewność, że po wykryciu luki w zabezpieczeniach informacja trafi do administracji?
Ano właśnie… Bug bounty moga uruchomić tylko firmy ze sporymi zasobami. A te po prostu wola uważać, ufajac specjalistom od IT.
Bzdura. Przecież zarówno w przypadku, gdy firma ogłosi bug bounty albo go nie ogłosi atakujący może błąd zgłosić lub nie zgłosić. Zagrożenie będzie wręcz mniejsze przy bug bounty – atakujący zamiast „chomikować” znalezione błędy i wykorzystywać je będą bardziej skłonni do zgłaszania ich, wiedząc, że czeka na nich nagroda. Czyli ostatecznie bug bounty to dobry pomysł: zagrożenie będzie co najwyżej takie, jakie było wcześniej.
Szczególnie że włamywacz będzie wiedział że błędu szuka cała rzesza włamywaczy więc może się okazać że dziura może w ciągu minut zniknąć :D
Gdyby serwisy, nad którymi przyszło mi dotychczas pracować, miały bug bounty, koszty wypłaty nagród za zgłoszone błędy byłyby pewnie większe niż przychody firmy :P