Video: 09/15/2019 - Live Bug Bounty Recon Session on Yahoo (Censys, Crtsh, Sublist3r) w/ @Yaworsk (Listopad 2024)
Vědci zabývající se bezpečností, kteří se specializují na penetrační testování, tráví dny (a noci) pokusem o prolomení bezpečnostních systémů. Pokud najdou v produktu bezpečnostní díru před tím, než to padouchy udělají, dává výrobci produktu čas, aby vytáhl náplast. Co je v něm pro výzkumníka? Možná odměna za chybu ve výši 100 000 $, pokud byl problém v produktu společnosti Microsoft. Vědci z High-Tech Bridge, bezpečnostní služby a firmy zabývající se testováním penetrace, hlásí, že Yahoo nabízí také odměnu za chybu. První reportér ověřitelné chyby v zabezpečení dostane… 12, 50 $, lze uplatnit pouze ve firemním obchodě Yahoo za „firemní trička, poháry, pera a další doplňky“. Opravdu, Yahoo?
Rychle prasklý
Webová stránka Zabezpečení na Yahoo informuje o bezpečnostních opatřeních, které již společnost podnikla, spolu se sbírkou tipů. Jednotlivci, kteří si myslí, že jejich účty byly napadeny hackery nebo jsou ohroženy, mohou na této stránce kontaktovat Yahoo. Uvádí také: „Pokud jste členem komunity zabezpečení a potřebujete nahlásit technickou chybu zabezpečení, kontaktujte: [email protected].“
Pro vyhodnocení systému Bug Bounty se vědci High-Tech Bridge posadili a začali hledat bezpečnostní díry na webových stránkách Yahoo. Okamžitě našli jednoho, ale to už bylo hlášeno. Během několika dalších dnů našli další tři zranitelnosti při skriptování napříč weby, všechny nové. (Není to trochu alarmující samo o sobě?) Podle zprávy „Každá objevená zranitelnost umožnila kompromitaci jakéhokoli e-mailového účtu @ yahoo.com jednoduše odesláním speciálně vytvořeného odkazu přihlášenému uživateli Yahoo.“ Jakmile uživatel klikne na odkaz, je konec hry.
Vlastní výzkumníci společnosti Yahoo ověřili, že tyto chyby zabezpečení skutečně existují (od té doby byly opraveny). Výzkumnému týmu nabídli srdečné poděkování a ocenění ve výši 12, 50 USD za chybu, splatné v obchodě společnosti. Vědci byli bez dojmu; zpráva uvádí: „V tomto okamžiku jsme se rozhodli odložit další výzkum.“
Větší odměny
Společnost Microsoft za některé zprávy zaplatí odměnu 100 000 USD. Facebook vyplatil přes milion dolarů. Apple neplatí odměny za chyby, ale odměňuje „odpovědné zveřejnění“ slávou. Zdá se mi, že politika společnosti Apple bezhotovostní spravedlivé slávy se zdá lepší než udělování změn v chump.
„Yahoo by měl pravděpodobně revidovat své vztahy s bezpečnostními vědci, “ komentovala Ilia Kolochenko, generální ředitelka High-Tech Bridge. „Platit několik dolarů za zranitelnost je špatný vtip a nebude motivovat lidi, aby jim oznamovali zranitelnosti zabezpečení, zejména pokud lze taková zranitelná místa snadno prodat na černém trhu za mnohem vyšší cenu.“ Došel k závěru, že pokud Yahoo nebude utrácet více za zabezpečení společnosti, „žádný z zákazníků Yahoo se nikdy nebude cítit v bezpečí“.
Jiné společnosti požadovaly prodding, aby si uvědomily, že chyby v odměně za peníze se vyplácejí na velké peníze. Před několika lety Facebook nabízel pouhých 500 USD. Nedávno jeden badatel, kterému Facebook popřel odměnu, prokázal svůj objev zveřejněním na zdi Marka Zuckerberga. Brian Martin, prezident Nadace Open Security Foundation, poznamenal, že „i Microsoft, který byl nejznámějším zdržením v programech odměn za chyby, si uvědomil tuto hodnotu a skočil před ostatní a nabídl až 100 000 dolarů.“ Dále řekl: „Některé z těchto společností platí za úklid svých kanceláří více peněz než výzkumní pracovníci zabývající se bezpečností, kteří hledají zranitelná místa, která by mohla ohrozit tisíce jejich zákazníků.“
Musím souhlasit. Pokud prodejci nebudou platit za objevy výzkumných pracovníků v oblasti bezpečnosti, určitě budou i jiní. Nechceme, aby se ti chytrí vědci obraceli k Temné straně, aby nakrmili své děti.
