Hack-a-thon troba 220 errors a Facebook, Google, Etsy

Què obteniu quan poseu alguns pirates informàtics a una habitació i els proporcioneu una llista de llocs web objectiu? Van a buscar bitxos!



Això va ser el que va passar a Bug Bash 2013, un 'hack-a-thon a tot Internet' dirigit per Bugcrowd a la conferència d'AppSec USA a Nova York a principis d'aquesta setmana. Aproximadament 80 persones van participar al llarg de tres vetllades, i 'centenars' van participar de forma remota a través d'Internet, va dir Casey John Ellis, fundador i CEO de Bugcrowd. Els participants van enviar els errors que van identificar a Bugcrowd i l'equip va replicar les condicions que van conduir a l'error per confirmar el problema.

La llista d'objectius incloïa empreses com Facebook, Google, Etsy, Prezi i Yandex. Els provadors de seguretat que van participar van identificar més de 220 errors, va dir Ellis. En la seva major part, els problemes eren de la varietat mundana de corrent, incloses algunes vulnerabilitats d'injecció i bypass.





'Encara no he sentit parlar de cap vulnerabilitat exòtica, però encara estem analitzant les nostres dades', va dir Ellis.

Targeta de vídeo amb factor de forma petit

Bugcrowd té previst publicar més detalls sobre el tipus d'errors descoberts i informació sobre l'esdeveniment en una data posterior. La startup amb seu a San Francisco executa programes on grups de persones treballen junts per trobar errors en llocs web i aplicacions. Un cop confirma que els errors que s'informen són legítims, gestiona el procés de notificació als venedors adequats.



Recompenses d'errors
Els programes de recompensa d'errors són cada cop més populars, ja que les empreses animen els investigadors a enviar-los informes d'errors directament, en comptes de vendre'ls al govern o oferir-los per explotar corredors. No informar l'error al venedor significa que el comprador pot utilitzar aquestes vulnerabilitats per als seus propis propòsits i deixa els usuaris desprotegits d'aquesta fallada del programari.

Mozilla i Google probablement tenen els programes de recompensa d'errors més coneguts, però ara moltes altres empreses ofereixen algun tipus de programa ( Aquí teniu una llista llarga, però no completa ). Facebook va anunciar a l'agost que havia pagat un milió de dòlars en recompenses durant els darrers dos anys.

inspiron 15 2 en 1

No tots els errors compleixen els requisits per a aquests programes. Per exemple, Facebook deixa clar que el seu programa només cobreix problemes que 'podrien comprometre la integritat de les dades dels usuaris de Facebook, eludir les proteccions de privadesa de les dades dels usuaris de Facebook o permetre l'accés a un sistema dins de la infraestructura de Facebook'. Microsoft va llançar un sèrie de premis recentment i era molt específic en el tipus de problemes que buscava.

Bug Bash 2013
És difícil estimar en aquest moment quant valen en total els errors descoberts com a part de Bug Bash, ja que els programes de recompensa d'error varien molt en quant paguen . Alguns programes paguen diversos centenars de dòlars i altres paguen diversos milers de dòlars. També és important tenir en compte que cada empresa té regles específiques sobre què reconeixen com a error i quins tipus de problemes es cobreixen pel programa de recompensa d'errors.

Tot i que s'han enviat 220 errors, és responsabilitat del venedor decidir si els problemes qualificats per a un pagament. I fins i tot si hi ha un pagament, també correspon al venedor decidir l'import. Tanmateix, fins i tot si cada un dels més de 200 errors només val uns pocs centenars de dòlars, això no és dolent per unes poques hores de treball durant tres dies.

Els representants de Facebook van estar fins i tot disponibles durant els esdeveniments per donar informació sobre els seus programes de recompenses d'errors, així com per respondre les preguntes dels participants.

Revisió de la barra de so rca 37

La gent que havia estat en sessions d'entrenament aprenent sobre diferents tècniques es va aturar per participar en el grup-pirateig, va dir Tom Brennan, membre de la junta de la Fundació OWASP i un dels organitzadors d'AppSec USA. La gent col·laborava mentre treballava en objectius i demanava ajuda entre elles. Trobar errors no és un procés automatitzat, ja que realment requereix que la gent pensi en el que veu i ajusta les seves tècniques en conseqüència. Brennan va dir que un entorn col·laboratiu on les persones puguin rebotar idees entre si pot ser 'molt eficaç' per a la caça d'errors.

Recomanat