Το Netflix έχει πληρώσει περισσότερα από 1 εκατομμύριο δολάρια για ευπάθειες που εντοπίστηκαν στα συστήματα και τα προϊόντα του από την έναρξη του προγράμματος bug bounty το 2016.
Ο κολοσσός του streaming ανακοίνωσε την Τρίτη ότι πάνω από 5.600 ερευνητές έχουν συμβάλει στο πρόγραμμά του, υποβάλλοντας σχεδόν 8.000 μοναδικές αναφορές ευπάθειας. Καταβλήθηκαν ανταμοιβές για 845 ευπάθειες, πάνω από το ένα τέταρτο των οποίων αξιολογήθηκαν ως «κρίσιμης» ή «υψηλής σοβαρότητας».
Διαβάστε επίσης: Netflix: Τα 5 νέα παιχνίδια που έρχονται το Μάιο!
Όταν το 2018 ξεκίνησε το δημόσιο πρόγραμμα bug bounty, το Netflix συνεργάστηκε με το Bugcrowd για τη φιλοξενία και διαχείριση αυτής της πρωτοβουλίας. Η εταιρεία ανακοίνωσε τώρα ότι το πρόγραμμα της έχει μεταφερθεί στην πλατφόρμα HackerOne.
Με αυτή την κίνηση, το Netflix υπόσχεται βελτιωμένη κατηγοριοποίηση, αυξημένα bounty επίπεδα, διευρυμένο πεδίο εφαρμογής, αποκλειστικά ιδιωτικά προγράμματα και αποτελεσματικούς βρόχους ανατροφοδότησης για τους ερευνητές.
Τα ζητήματα για την εξουσιοδότηση του περιεχομένου, όπως η ανατροπή της εξουσιοδότησης και η απόκτηση ιδιωτικών κλειδιών, μπορούν να αποφέρουν στους ερευνητές από 300 έως 5.000 $.
Οι κρίσιμες ευπάθειες που επηρεάζουν το Netflix μπορούν να αποφέρουν στους bug bounty hunters έως και 20.000 $. Ελαττώματα που επηρεάζουν εταιρικά περιουσιακά στοιχεία μπορούν να αποφέρουν στους ερευνητές έως και 10.000 $. Το πρόγραμμα bug bounty καλύπτει επίσης εφαρμογές για κινητές συσκευές.
Πρόσφατα, ένας ερευνητής αποκάλυψε ότι τα τρωτά σημεία στην τεχνολογία πρόσβασης και προστασίας περιεχομένου PlayReady της Microsoft μπορούν να αξιοποιηθούν για παραβίαση με σκοπό την παράνομη λήψη ταινιών από δημοφιλείς streaming υπηρεσίες, όπως το Netflix.
Η streaming υπηρεσία δεν απάντησε στο αίτημα της SecurityWeek για σχολιασμό όταν η έρευνα ήρθε στο φως.
Δείτε περισσότερα: Το πακέτο Apple TV+, Netflix και Peacock με μειωμένη τιμή
Δεν είναι σαφές αν η επίθεση στο PlayReady θα πληρούσε τις προϋποθέσεις για το bug bounty πρόγραμμα του Netflix. Ωστόσο, ο ερευνητής που ανακάλυψε τα τρωτά σημεία του PlayReady, ο Adam Gowdiak της AG Security Research με έδρα την Πολωνία, υποστήριξε ότι — δεδομένου του εκτεταμένου αντίκτυπου και της προσπάθειας που καταβλήθηκε — η έρευνά του αξίζει πολύ περισσότερα από όσα είναι διατεθειμένες να προσφέρουν η Microsoft και οι άλλες επηρεαζόμενες εταιρείες μέσω των bug bounty προγραμμάτων.
Πηγή: securityweek
