Construindo a maior plataforma de recompensa de insetos do mundo

Construindo a maior plataforma de recompensa de insetos do mundo

Ao longo dos anos, encontrar bugs em softwares, aplicativos e serviços online populares tornou-se um empreendimento lucrativo para hackers empreendedores. Na verdade, alguns desses hackers e pesquisadores de segurança até se tornaram milionários graças ao programas de recompensa de bug. Além de serem pagos para descobrir vulnerabilidades, seu trabalho ajuda algumas das maiores empresas do mundo a melhorar a segurança de seus produtos para proteger melhor seus usuários.

A plataforma de recompensa de bugs HackerOne ajuda a conectar essas empresas a hackers éticos em todo o mundo. Para saber mais sobre como a empresa começou e os vários bugs que foram descobertos por sua comunidade ao longo dos anos, TechRadar Pro conversou com Alex Rice, CTO da HackerOne.

HackerOne Early Days

(Crédito da imagem: MSNBC)

O que levou à criação do HackerOne em 2012?

Organizações de todas as formas e tamanhos agora usam segurança baseada em hackers, mas nem sempre foi assim.

Antes do HackerOne, eu era chefe de segurança de produto do Facebook. Uma das coisas mais eficazes que fizemos foi dizer aos hackers: “Queremos sua ajuda. Encontre um bug, encontre uma vulnerabilidade, informe-nos e nós o recompensaremos.” O programa acabou pagando mais de US $ 10 milhões e melhorando a segurança do produto mais do que qualquer um poderia ter imaginado.

Avançando para os dias de hoje, o HackerOne é a plataforma de segurança baseada em hackers de maior sucesso no mundo. Mais de 2.000 organizações fizeram parceria com a comunidade de hackers para descobrir mais de 181.000 vulnerabilidades verificadas. Esses hackers foram recompensados ​​com mais de US $ 100 milhões por tornar a Internet um lugar mais seguro.

Como sua experiência como engenheiro de segurança e pesquisador influenciou o trabalho que você faz hoje como CTO da HackerOne?

Na HackerOne, sou responsável por desenvolver nossa visão de tecnologia, impulsionar os esforços de engenharia e aconselhar os clientes à medida que criam programas de segurança de classe mundial. Estou motivado antes de mais nada pela convicção de que a tecnologia pode melhorar nossas vidas para melhor. Mas desafios fundamentais com segurança e privacidade muitas vezes nos impedem. Precisamos de tecnologia confiável, e minha experiência como pesquisadora individual me ensinou que nunca chegaremos lá sozinhos. Precisamos de milhões de nós trabalhando juntos, divulgando lições aprendidas e incentivando cada um de nós a fazer melhor.

Que impacto você acha que sua plataforma teve na maneira como as vulnerabilidades são identificadas e relatadas?

No HackerOne, fazemos parceria com a comunidade global de hackers, para garantir que as organizações estejam cientes de quaisquer problemas de segurança antes que possam ser explorados por criminosos. A incrível criatividade, diversidade e persistência que você encontra nesta comunidade única garantem que as organizações sejam muito mais seguras do que estariam sozinhas e que as pessoas que dependem delas estejam mais seguras.

Também temos diferentes programas e opções disponíveis para os clientes, garantindo que eles tenham o melhor suporte possível, quando precisam. É importante que as empresas não estejam apenas cientes de onde estão os riscos, mas que as vulnerabilidades possam ser gerenciadas e corrigidas. No HackerOne, os clientes podem optar por uma variedade de soluções disponíveis, desde pentesting até recompensas por bugs públicos e privados e, o mais importante, programas de divulgação de vulnerabilidades.

codificação

(Crédito da imagem: Shutterstock / Gorodenkoff)

Você pode nos contar mais sobre o banco de dados de vulnerabilidades de sua empresa e como você controla todos os bugs enviados por pesquisadores de segurança?

Mantemos o maior e mais confiável banco de dados de vulnerabilidades do setor e nosso programa de recompensas incentiva nossa comunidade de hackers a identificar e enviar relatórios de vulnerabilidade em tudo, desde sites, APIs, aplicativos móveis, dispositivos de hardware e uma gama cada vez mais diversificada e vasta de superfícies de ataque .

Em termos de como monitoramos, há um processo claro para nossos hackers seguirem. Depois de se inscreverem em uma conta do HackerOne, eles podem pesquisar um programa participante e começar a hackear. Se encontrarem uma vulnerabilidade, eles usarão o HackerOne Directory para encontrar a melhor maneira de entrar em contato com a organização e enviar um relatório. A empresa irá então revisar o conteúdo e recompensar as descobertas válidas.

Dos dez tipos de vulnerabilidade mais impactantes e recompensados ​​no novo relatório do HackerOne, qual você vê como a maior ameaça às organizações hoje e por quê?

Vulnerabilidades de cross-site scripting (XSS). Este é o segundo ano consecutivo que eles estão no topo da nossa lista, pois continuam a ser uma grande ameaça para os aplicativos da web e respondem por 18% de todas as vulnerabilidades relatadas. Os invasores exploram ataques XSS e obtêm controle da conta de um usuário para roubar informações pessoais, como senhas, números de contas bancárias, detalhes de cartão de crédito e muito mais. Nossos clientes concederam mais de US $ 4,2 milhões em prêmios de recompensa total, um aumento de 26% em 2019.

Vulnerabilidades comuns, como XSS, são frequentemente descartadas pelos CISOs que gostam de perseguir a “ameaça do dia”, mas os hackers nos mostram consistentemente que essas práticas recomendadas negligenciadas continuam a ser uma das maneiras mais eficazes de comprometer dados pessoais.

Que tipos de vulnerabilidades despertam mais seu interesse?

No momento, estou interessado em ver o que acontece com as vulnerabilidades SSRF (Server Side Request Forgery), que estão aumentando em prevalência conforme as migrações de nuvem estão em andamento. Historicamente, os bugs de SSRF têm sido bastante benignos, pois só permitem a varredura de rede interna e, às vezes, acesso a painéis de administração internos. Mas, nesta era de rápida transformação digital, o advento da arquitetura em nuvem e dos terminais de metadados desprotegidos tornou essas vulnerabilidades cada vez mais críticas.

Duas pessoas trabalhando em um laptop

(Crédito da imagem: Pexels)

Que conselho você daria a uma empresa que está procurando implementar um programa de recompensa por bug pela primeira vez?

Rasteje, ande, corra. Seu negócio não precisa pular de cabeça. As empresas podem limitar o número de hackers envolvidos com um programa privado. Use esse recurso para iniciar de forma controlada para garantir que você tenha uma política clara, capacidade de fazer uma triagem e análise de causa raiz com eficácia e que esteja procedendo em um ritmo gerenciável para suas equipes de desenvolvimento. Correr muito rápido geralmente leva a um golpe instantâneo e ao adiamento do investimento necessário em suas principais práticas de segurança.

Como as empresas devem definir a atribuição de valor monetário à descoberta de um bug específico?

Para começar, não pague por um bug específico. Comece com um programa de divulgação de vulnerabilidade que simplesmente estabelece um processo para receber vulnerabilidades de descobridores externos sem promessa de recompensa financeira.

A partir daí, comece com um pequeno programa privado em algumas de suas superfícies de ataque mais robustas. Nossa equipe pode trabalhar com você para comparar sua superfície de ataque escolhida com nossos dados de referência para organizações semelhantes com o objetivo de atrair uma linha de base inicial de atenção da comunidade antes de aumentar as recompensas conforme sua superfície de ataque endurece.

O valor monetário normalmente depende de quão crítico é o bug, quanto mais grave a vulnerabilidade, maior a recompensa. Em nosso recente 2020 Relatório de segurança baseado em hackers, descobrimos que a recompensa média para todas as vulnerabilidades de qualquer gravidade era de US $ 979.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *