[ad_1]

Parlez de geek chic. Facebook a commencé rémunérer les chercheurs qui trouvent et signalent des bogues de sécurité en leur émettant des cartes de débit personnalisées « White Hat » qui peuvent être rechargées avec des fonds chaque fois que les chercheurs découvrent de nouvelles failles.

La carte de débit Bug Bounty de Facebook pour les chercheurs en sécurité qui signalent des failles de sécurité dans son site et ses applications.

J’ai lu pour la première fois à propos de cette carte sur le portail polonais de la sécurité informatique Niebezpiecznik.plqui a récemment publié une image d’une carte de prime de bug donnée à Szymon Gruszecki, chercheur en sécurité polonais et testeur d’intrusion. Une ventouse pour la plupart des choses liées aux cartes de crédit / débit, je voulais en savoir plus sur les chercheurs qui avaient reçu les cartes.

Comme de nombreux participants au programme de Facebook, Gruszecki recherche également des bogues pour d’autres entreprises qui offrent de l’argent aux chercheurs en échange de signalements privés de vulnérabilités, notamment Google, MozillaComment, CCBill et Piwik. Cela ne veut pas dire qu’il ne trouve des bogues que pour de l’argent.

« Je signale régulièrement les vulnérabilités des applications Web à diverses entreprises [that don’t offer bounties]y compris Microsoft, Apple, etc. », a écrit Gruszecki dans un échange de courriels.

Les programmes de primes aux bogues sont un moyen intelligent pour les entreprises basées sur Internet de générer simultanément de la bonne volonté au sein de la communauté de la sécurité et de convaincre les chercheurs de signaler les bogues en privé. Les chercheurs sont récompensés si leurs bogues peuvent être confirmés et s’ils donnent aux entreprises concernées le temps de corriger les failles avant de rendre publiques les informations.

En prime, certains chercheurs – comme Gruszecki – choisissent de ne pas divulguer les bugs du tout.

« Ma règle n°1 en tant que participant aux primes de bogues : ne donnez pas de détails sur les bogues signalés », a-t-il répondu, lorsqu’on lui a demandé les détails de sa dernière découverte sur Facebug. « C’est ma décision personnelle, mais peut-être qu’à l’avenir je changerai d’avis. Je préfère donc corriger les bugs en silence, mais c’est bien qu’ils puissent parler de moi en mettant mon nom sur leur Liste des chapeaux blancs.”

Gurszecki a déclaré qu’aussi cool que soit la carte White Hat, il a demandé à Facebook d’envoyer ses gains d’une autre manière, affirmant que l’utilisation de la carte entraînait trop de frais dans son pays.

« J’ai trouvé que la carte était trop chère à utiliser en Pologne et j’ai choisi un autre moyen d’obtenir ma récompense », a-t-il déclaré. « L’équipe Facebook m’a envoyé la carte uniquement en souvenir. »

Neal Pool, un junior de l’Université Brown, a signalé près d’une douzaine de failles à Facebook et a également récemment reçu une carte White Hat. Poole a valu des failles de reporting de trésorerie à Google et Mozilla, mais contrairement à Gruszecki, il blogs sur chaque vulnérabilité qu’il trouve une fois qu’ils sont corrigés, détaillant chaque étape de sa découverte et de son interaction avec le fournisseur concerné.

Les recherches et les écrits diligents de Poole ont finalement attiré l’attention des recruteurs de Facebook : l’été prochain, il effectuera un stage chez Facebook, travaillant directement avec l’équipe de sécurité de l’entreprise.

Le natif de New York a bien accueilli la carte Bug Bounty, ce qui facilite un peu le paiement. Au départ, il avait demandé à être payé via Western Union, mais il a fini par recevoir le paiement via PayPal. Maintenant, il prend juste la carte dans JPMorgan Chase (l’émetteur de la carte) et leur fait verser l’argent sur son compte bancaire. « C’était un peu déroutant au début pour les gens de ma banque. Ils n’avaient jamais vu une de ces cartes auparavant.

Le jeune chercheur a déclaré que bien que la carte White Hat ait définitivement une certaine crédibilité de geek, il ne la présentera pas de sitôt lors de conférences sur la sécurité pour acheter des boissons à ses contemporains.

« Je ne pense pas que je voudrais utiliser une telle carte à [hacker conventions like] Black Hat ou DefCon », a déclaré Poole. « Il serait probablement cloné, ou j’aurais l’impression que si vous retiriez la carte, vous deviendriez immédiatement une cible. »

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *