Открыть меню

Voatz Bug Bounty startete von HackerOne-Plattform


Zum ersten mal in seiner Geschichte, bug-bounty und Offenlegung der Sicherheitsanfälligkeit Firma HackerOne gekickt hat ein Unternehmen seine Plattform.

Blockchain-basierte voting Firma Voatz hat lange angekündigt, seine bug-bounty-Programm durch die HackerOne bei der Frage nach der Sicherheit der blockchain-enabled mobile voting app.

Gegründet in 2012, HackerOne verbindet Unternehmen mit pen-Tester und cybersecurity-Forscher. Es beherbergte über 1.800 Kunden-Programme, aber die angeschlagene US-Bundesstaat Massachusetts ansässige Unternehmen die bug-bounty ist nicht mehr einer von Ihnen.

“Als Plattform haben wir unermüdlich daran arbeiten, zu fördern und gegenseitig vorteilhafte Beziehung zwischen Sicherheits-teams und der Forscher-community” HackerOne-Sprecherin Samantha Spielman erzählt Cointelegraph. “Wir arbeiten mit Organisationen zusammen, priorisieren, handeln in treu und glauben auf die Sicherheitsforscher-community und die Bereitstellung von angemessenen Zugang zu den die Forscher für die Tests. Da die Voatz-Programm nicht einhalten, entweder diese Anforderungen haben, beendeten wir unsere Partnerschaft im März 2020.”

In einer Erklärung, eine Voatz Sprecher zugeschrieben HackerOne Entscheidung, Booten Sie von der Plattform, um “Druck aus einer kleinen Gruppe von Forschern”, die “glauben Voatz berichtet ein Forscher der FBI.” In der Tat, Voatz berichtet der student der Zuständigkeit, die dann berichtet er das FBI.

Voatz Kritik nach der student-Sicherheitsexperte bezeichnet wurde, um das FBI über das, was die Firma sagt, wurde ein Einbruchsversuch—obwohl, dass die Forschung zu haben scheint, geschützt durch die safe-harbor-Erklärung des Unternehmens bug-bounty-Programm. Nach dem FBI-Empfehlungs-Schlagzeilen gemacht, Voatz rückwirkend aktualisiert seine HackerOne bug-bounty-Programm-Bezeichnungen zu engen Rahmen seiner safe-harbor-Politik, so dass es unklar, ob es auch die vollen juristischen Schutz.

“Vertrauen ist von größter Bedeutung in der gesamten bug-bounty-Modell zwischen security-teams, Hacker, und der Plattform. Einmal das Vertrauen gebrochen ist, ist es schwer wieder aufzubauen. Während Voatz in der Lage war, an die Oberfläche und beheben von Schwachstellen durch Ihre bug-bounty-Programm, das Programm war nicht mehr produktiv für die Partei”, sagte Spielman.

Unabhängiger Sicherheitsexperte und avid bug-bounty hunter-Jack-Kabel sagte, dass Voatz langsam auch bestätigen, die beiden bug-bounty-Berichte, die er eingereicht. In einem Fall fand er eine Schwachstelle—Voatz Speicherung von privaten Schlüsseln von Stack Overflow, die auf seine app—, dass Voatz gesagt hatte, keine Rolle in Ihrer Wahl verarbeiten. Aber ein security audit Trail der Bits, die vorgeschlagen, es war in Gebrauch bestimmte Funktionen und aufgeführt wurde als high-severity-Fehler.

“Es gibt eine Menge von Fällen, in denen Sie versucht zu verharmlosen die schwere von etwas, oder waren nicht allzu klar darüber, ob es auch eine Schwachstelle. Insgesamt war es nicht nur eine sehr produktive Erfahrung,” Kabel sagte.

Kabel auch gefunden, dass seine IP-Adresse blockiert, wenn das testen der app, obwohl er sagt, es ist unklar, ob dies automatisiert wurde. “Es gab ein paar mal, als ich testen und ich war nicht mehr in der Lage, auch auf Ihre staging-Umgebung, weil meine IP-Adresse blockiert wurde”, sagte er.

MIT-Forscher, die identifiziert schwerwiegende Sicherheitslücken mit Voatz fanden viele Schwachstellen, die gewesen wäre, außerhalb des Anwendungsbereichs des bug-bounty-Programm, hatte Sie es durchgestanden. Stattdessen gingen Sie durch die KAG. “Wir wollten, dass die Forschung für sich selbst zu sprechen, und hatte rechtliche Bedenken hinsichtlich der Voatz die unprofessionelle Reaktion auf die Vorherige unabhängige Sicherheitsforschung, wie hat gewesen dokumentiert in mehreren Nachrichtenagenturen,” die Forscher schrieb in einem FAQ.

Kabel wies auf Voatz “Allgemeinen Feindseligkeit der Sicherheitsforschung als ganzes.” Voatz verweigert werden Sicherheitslücken beschrieben, die in einem Bericht MIT, selbst nachdem es wurde bestätigt von Trail of Bits, der auditing-Firma angestellt. “Auf der einen Seite sagen Sie,” kommen Sie zu uns über die Sicherheitslücken, die Sie finden.’ Aber dann, wenn die Leute tatsächlich Schwachstellen zu finden, Sie zu leugnen, dass Sie überhaupt existieren”, sagte er.

“Sie sind eindeutig nicht empfänglich für die Sicherheitsforschung. HackerOne hat eine Verantwortung zum Schutz nicht nur seine Kunden, sondern auch Hacker auf seiner Plattform, sobald das Unternehmen beginnt überschreiten dieser Linie. Ich denke, HackerOne hatte, zu handeln, so bin ich froh, dass Sie es in diesem Fall.”

Voatz sagte, dass es plant zu verkünden, eine umfassende bug-bounty-Programm in den kommenden Tagen.

Source: cointelegraph.com

Leave a Reply

Your email address will not be published. Required fields are marked *

© 2020 Crypto-News · All rights reserved
<<2018>>