Hack-a-thonがfacebook、google、etsyで220個のバグを発見

ハッカーを部屋に入れて標的のウェブサイトのリストを提供すると、何が得られますか？ 彼らはバグハンティングに行きます！

これは、今週初めにニューヨークで開催されたAppSec USAカンファレンスでBugcrowdが運営する「インターネット全体のハックトーン」であるBug Bash 2013で起こったことです。 Bugcrowdの創設者兼CEOであるCasey John Ellis氏は、3晩の間に約80人が参加し、インターネット経由で「数百人」がリモートで参加したと述べました。 参加者は特定したバグをBugcrowdに提出し、チームはエラーに至るまでの状況を再現して問題を確認しました。

ターゲットのリストには、Facebook、Google、Etsy、Prezi、Yandexなどの企業が含まれていました。 参加したセキュリティテスターは220を超えるバグを特定した、とエリスは言いました。 ほとんどの場合、問題はいくつかのインジェクションおよびバイパスの脆弱性を含む、ありふれたさまざまなものでした。

「私はまだエキゾチックな脆弱性について聞いたことがありませんが、私たちはまだデータを分析しています」とエリスは言いました。

Bugcrowdは、発見されたバグの種類に関する詳細と、後日イベントに関する情報をリリースする予定です。 サンフランシスコに本拠を置くこのスタートアップは、人々のグループが協力してウェブサイトとアプリケーションのバグを見つけるプログラムを実行しています。 報告されているバグが正当であることを確認すると、適切なベンダーに通知するプロセスを処理します。

バグ報奨金

バグ報奨金プログラムは、企業にバグ報告を政府に販売したり、悪用ブローカーに提供したりする代わりに、バグ報告を直接提出するよう企業に奨励しているため、ますます人気が高まっています。 バグをベンダーに報告しないということは、買い手がこれらの脆弱性を自分の目的に使用でき、ユーザーがそのソフトウェアの欠陥から保護されないままにすることを意味します。

MozillaとGoogleはおそらく最も有名なバグ報奨プログラムを持っていますが、現在他の多くの企業が何らかのプログラムを提供しています（完全ではありませんが、長いリストはここにあります）。 Facebookは8月に、過去2年間に100万ドルの報奨金を支払ったと発表しました。

すべてのバグがこれらのプログラムに該当するわけではありません。 たとえば、Facebookは、プログラムが「Facebookユーザーデータの整合性を損なう、Facebookユーザーデータのプライバシー保護を回避する、またはFacebookインフラストラクチャ内のシステムへのアクセスを可能にする」可能性がある問題のみを対象としていることを明確にします。 マイクロソフトは最近一連の賞を開始し、探していた種類の問題に非常に具体的でした。

Bug Bash 2013

バグバウンティプログラムは支払う金額が大きく異なるため、この時点でBug Bashの一部として発見されたバグの合計価値を見積もることは困難です。 数百ドルを支払うプログラムもあれば、数千ドルを支払うプログラムもあります。 また、各企業には、バグとして認識されるものと、バグ報奨金プログラムの対象となる問題の種類に関する特定のルールがあることに注意することも重要です。

220件のバグが提出されたとしても、問題が支払いに適格かどうかを判断するのはベンダー次第です。 そして、たとえ支払いがあったとしても、金額を決めるのはベンダー次第です。 ただし、200を超えるバグの1つ1つが数百ドルの価値しかない場合でも、3日間の数時間の作業でそれは悪くありません。

Facebookの代表者は、イベント中に彼らのバグ報奨金プログラムについての洞察を提供し、参加者からの質問に答えるために手元にいました。

OWASP Foundationの理事でありAppSec USAの主催者の1人であるTom Brennan氏は、さまざまなテクニックについて学習しているトレーニングセッションに参加していた人々がグループハックに参加するために立ち寄っていると述べました。 人々は目標に取り組み、お互いに助けを求めながら協力していた。 バグを見つけることは自動化されたプロセスではありません。実際に人々は自分が見ているものについて考え、それに応じてテクニックを調整する必要があります。 ブレナン氏は、人々がアイデアを互いに跳ね返すことができる共同作業環境が「非常に効果的」であると述べています。