Video: Yahoo! Bug Bounty. Curl argument injection Yahoo small business (November 2024)
Beveiligingsonderzoekers die gespecialiseerd zijn in penetratietests, brengen hun dagen (en nachten) door met het doorbreken van beveiligingssystemen. Als ze een beveiligingslek in een product vinden voordat de slechteriken dat doen, geeft het de maker van het product de tijd om een patch te verwijderen. Wat zit er in voor de onderzoeker? Misschien een bounty van $ 100.000, als het probleem in een Microsoft-product zat. Onderzoekers van High-Tech Bridge, een beveiligingsbedrijf en penetratietestbedrijf, melden dat Yahoo ook een bugbounty biedt. De eerste verslaggever van een verifieerbare beveiligingsprobleem krijgt… $ 12, 50, alleen inwisselbaar in Yahoo's bedrijfswinkel voor 'zakelijke t-shirts, bekers, pennen en andere accessoires'. Echt waar?
Snel gekraakt
De webpagina Beveiliging op Yahoo rapporteert over de beveiligingsstappen die het bedrijf al heeft genomen, samen met een aantal tips. Personen die denken dat hun accounts zijn gehackt of gecompromitteerd, kunnen vanaf deze pagina contact opnemen met Yahoo voor hulp. Er staat ook: "Als u lid bent van de beveiligingsgemeenschap en een technische kwetsbaarheid moet melden, neem dan contact op met: [email protected]."
Om het Bug Bounty-systeem te evalueren, gingen onderzoekers van High-Tech Bridge zitten en gingen op zoek naar beveiligingslekken in de websites van Yahoo. Ze vonden er meteen een, maar het was al gemeld. In de loop van nog een paar dagen vonden ze nog drie cross-site scripting-kwetsbaarheden, allemaal nieuw. (Is dat op zichzelf niet alarmerend?) Volgens het rapport: "Elk van de ontdekte kwetsbaarheden liet toe dat elk @ yahoo.com e-mailaccount gecompromitteerd werd door simpelweg een speciaal vervaardigde link naar een ingelogde Yahoo-gebruiker te sturen." Zodra de gebruiker op die link klikt, is het spel voorbij.
De eigen onderzoekers van Yahoo hebben geverifieerd dat deze kwetsbaarheden echt bestonden (ze zijn sindsdien verholpen). Ze boden het onderzoeksteam een hartelijk bedankje en een prijs van $ 12, 50 per bug, verzilverbaar in de bedrijfswinkel. De onderzoekers waren niet onder de indruk; het rapport stelt: "Op dit punt hebben we besloten om verder onderzoek uit te stellen."
Grotere premies
Microsoft betaalt een premie van $ 100.000 voor sommige rapporten. Facebook heeft meer dan een miljoen dollar uitbetaald. Apple betaalt geen premies, maar beloont 'verantwoorde openbaarmaking' met roem. Voor mij lijkt het beleid van Apple zonder contant geld alleen maar beter dan het toekennen van chump-verandering.
"Yahoo zou waarschijnlijk hun relaties met beveiligingsonderzoekers moeten herzien", aldus Ilia Kolochenko, CEO van High-Tech Bridge. "Het betalen van meerdere dollars per kwetsbaarheid is een slechte grap en zal mensen niet motiveren om beveiligingskwetsbaarheden aan hen te melden, vooral wanneer dergelijke kwetsbaarheden gemakkelijk voor een veel hogere prijs op de zwarte markt kunnen worden verkocht." Hij concludeert dat als Yahoo niet meer uitgeeft aan bedrijfsbeveiliging, "geen van Yahoo's klanten zich ooit veilig kunnen voelen."
Andere bedrijven hebben porren nodig om te beseffen dat beloningen met grote bedragen hun vruchten afwerpen. Een paar jaar geleden bood Facebook slechts $ 500 aan. Meer recent demonstreerde een onderzoeker, een premie geweigerd door Facebook, zijn ontdekking door te posten op de muur van Mark Zuckerberg. Brian Martin, President van Open Security Foundation, merkte op dat "Zelfs Microsoft, die de meest beruchte hold-out was van bug bounty-programma's, de waarde realiseerde en de rest vooruitliep en tot $ 100.000 bood." Hij zei verder: "Sommige van deze bedrijven betalen hun conciërges meer geld om hun kantoren schoon te maken, dan beveiligingsonderzoekers die kwetsbaarheden vinden die duizenden van hun klanten in gevaar kunnen brengen."
Ik ben het ermee eens. Als leveranciers niet betalen voor ontdekkingen door beveiligingsonderzoekers, zijn er zeker anderen die dat zullen doen. We willen niet dat die slimme onderzoekers zich tot de Dark Side wenden om hun kinderen te voeden.
