Video: Live Bug Bounty Recon Session on Yahoo (Part 1 - 7/14/2019) (Desember 2024)
Peneliti keamanan yang berspesialisasi dalam pengujian penetrasi menghabiskan hari-hari mereka (dan malam) mencoba untuk merusak sistem keamanan. Jika mereka menemukan celah keamanan pada suatu produk sebelum orang jahat melakukannya, itu memberi waktu bagi pembuat produk untuk mendorong keluar tambalan. Apa untungnya bagi peneliti? Mungkin hadiah bug $ 100.000, jika masalahnya ada di produk Microsoft. Para peneliti di High-Tech Bridge, sebuah layanan keamanan dan perusahaan pengujian penetrasi, melaporkan bahwa Yahoo juga menawarkan hadiah bug. Reporter pertama bug keamanan yang dapat diverifikasi mendapatkan… $ 12, 50, hanya dapat ditebus di toko perusahaan Yahoo untuk "kaos perusahaan, cangkir, pena, dan aksesori lainnya." Benarkah, Yahoo?
Dengan cepat retak
Halaman Keamanan di Yahoo melaporkan langkah-langkah keamanan yang sudah diambil oleh perusahaan, bersama dengan kumpulan tips. Individu yang mengira akun mereka diretas atau dikompromikan dapat menghubungi Yahoo dari halaman ini untuk mendapatkan bantuan. Ini juga menyatakan, "Jika Anda adalah anggota komunitas keamanan dan perlu melaporkan kerentanan teknis, hubungi: [email protected]."
Untuk mengevaluasi sistem Bug Bounty, peneliti High-Tech Bridge duduk dan mulai mencari celah keamanan di situs web Yahoo. Mereka menemukan satu segera, tetapi sudah dilaporkan. Selama beberapa hari lagi, mereka menemukan tiga kerentanan skrip lintas situs lainnya, semuanya baru. (Bukankah itu agak mengkhawatirkan dalam dirinya sendiri?) Menurut laporan itu, "Setiap kerentanan yang ditemukan memungkinkan akun email @ yahoo.com dikompromikan hanya dengan mengirim tautan yang dibuat secara khusus ke pengguna Yahoo yang login." Setelah pengguna mengklik tautan itu, permainan berakhir.
Peneliti Yahoo sendiri memverifikasi bahwa kerentanan ini benar-benar ada (sejak itu sudah diperbaiki). Mereka menawarkan terima kasih yang tulus kepada tim peneliti, dan hadiah $ 12, 50 per bug, dapat ditebus di toko perusahaan. Para peneliti tidak terkesan; laporan itu menyatakan, "Pada titik ini kami memutuskan untuk menunda penelitian lebih lanjut."
Hadiah yang lebih besar
Microsoft akan membayar hadiah $ 100, 000 untuk beberapa laporan. Facebook telah membayar lebih dari satu juta dolar. Apple tidak membayar hadiah bug, tetapi memberi hadiah "pengungkapan yang bertanggung jawab" dengan ketenaran. Bagi saya, kebijakan tanpa-uang Apple yang terkenal sepertinya lebih baik daripada memberikan perubahan bodoh.
"Yahoo mungkin harus merevisi hubungan mereka dengan peneliti keamanan, " komentar Ilia Kolochenko, CEO High-Tech Bridge. "Membayar beberapa dolar per kerentanan adalah lelucon buruk dan tidak akan memotivasi orang untuk melaporkan kerentanan keamanan kepada mereka, terutama ketika kerentanan seperti itu dapat dengan mudah dijual di pasar gelap dengan harga yang jauh lebih tinggi." Dia menyimpulkan bahwa jika Yahoo tidak menghabiskan lebih banyak untuk keamanan perusahaan, "tidak ada pelanggan Yahoo yang bisa merasa aman."
Perusahaan lain diharuskan mendesak untuk menyadari bahwa hadiah bug membuahkan hasil besar. Beberapa tahun yang lalu Facebook hanya menawarkan $ 500. Baru-baru ini seorang peneliti, ditolak hadiahnya oleh Facebook, mendemonstrasikan penemuannya dengan memposting di dinding Mark Zuckerberg. Brian Martin, Presiden dari Open Security Foundation, mencatat bahwa "Bahkan Microsoft, yang merupakan penentang program bug bounty yang paling terkenal menyadari nilai dan melompati yang lainnya, menawarkan hingga $ 100.000." Dia melanjutkan dengan mengatakan, "Beberapa perusahaan ini membayar lebih banyak uang kepada petugas kebersihan untuk membersihkan kantor mereka, daripada yang dilakukan peneliti keamanan menemukan kerentanan yang dapat membahayakan ribuan pelanggan mereka."
Saya harus setuju. Jika vendor tidak mau membayar untuk penemuan oleh peneliti keamanan, pasti ada orang lain yang mau. Kami tidak ingin para peneliti pintar itu beralih ke Sisi Gelap untuk memberi makan anak-anak mereka.