Twitter ra mắt chương trình Bug Bounty thông qua HackerOne

Một nỗ lực cảm ơn các nhà nghiên cứu đã có trách nhiệm thông báo lỗ hổng bảo mật, Twitter đã giới thiệu một chương trình báo lỗ hổng và nhận tiền thưởng thông qua HackerOne. Các chuyên gia bảo mật đã báo cáo hàng chục lỗ hổng Twitter trong vòng ba tháng qua thông qua HackerOne. Một chương trình Bug Bounty mới của Tiwtter sẽ được áp dụng cho những người báo cáo các lỗ hổng trên Twitter.com và tên miền phụ, Twitter trên Android, Twitter trên iOS. Mức thưởng tối thiểu là 140 đôla. Mức thưởng tối đa không được đưa ra, các công ty lớn khác thường chi hàng chục ngàn đôla cho một vấn đề an ninh nghiêm trọng . Số tiền thưởng có thể thay đổi tùy thuộc vào mức độ nghiêm trọng của lỗ hổng được báo cáo. Twitter sẽ quyết định số tiền thưởng. Đây không phải là một cuộc thi, phần thưởng có thể được cung cấp liên tục miễn là chương trình này còn hoạt động. Các nhà nghiên cứu sẽ không nhận được bất kỳ tiền thưởng khi báo cáo các lỗ hổng được tìm thấy trên các lĩnh vực khác của Twitter và các ứng dụng khác so với đề cập ở trên, nhưng họ sẽ được thấy tên mình trên bảng vinh danh của công ty. Có bốn điều kiện chính mà người báo cáo lỗ hổng bảo mật phải đáp ứng được:
  1. Không phải là cư dân của các quốc gia như Syria hay Bắc Triều Tiên
  2. Không được công bố công khai kết quả nghiên cứu trước khi Twitter tung ra bản vá
  3. Phải là người đầu tiên phát hiện ra lỗ hổng
  4. Lỗ hổng phải nằm trong danh sách các lỗ hổng đủ điều kiện trao thưởng.
Các loại lỗ hổng đủ điều kiện cho chương trình nhận thưởng là cross-site scripting (XSS), cross-site request forgery (CSRF), thực thi mã từ xa (RCE), truy cập trái phép hoặc trực tiếp vào các tin nhắn và truy cập trái phép vào các tweet được bảo vệ. Các nhà nghiên cứu khuyên nên sử dụng tài khoản thử nghiệm, và hạn chế không gửi thư rác.  Không nên phát động tấn công từ chối dịch vụ vào hệ thống hoặc thực hiện bất kỳ hành động khác có tác động tiêu cực đến khách hàng. Twitter cũng sẽ loại bỏ các trường hợp được nhận thưởng: khi người cảnh báo là các kĩ sư thuộc Twitter, các hình thức tấn công vật lý, lỗ hổng chỉ ảnh hưởng đến người sử dụng phần mềm đã lỗi thời, các báo cáo chưa được xác minh từ các công cụ tự động. Thông tin thêm về chương trình báo cáo lỗi nhận tiền thưởng của Twitter đã có sẵn trên HackerOne.

Securityweek.com

4 BÌNH LUẬN

Comments are closed.