Η Cloudflare, η γνωστή αμερικανική εταιρεία που επικεντρώνεται στο web infrastructure και την ασφάλεια ιστοσελίδων, ανακοίνωσε την έναρξη ενός νέου public προγράμματος bug bounty.
Δείτε επίσης: Samba bug: Επιτρέπει απομακρυσμένη εκτέλεση κώδικα ως root
Την ανακοίνωση έκανε ο Rushil Shah, Product Security Engineer στη Cloudflare: “Σήμερα εγκαινιάζουμε το επί πληρωμή public bug bounty πρόγραμμα. Πιστεύουμε ότι τα bug bounties αποτελούν ζωτικό μέρος της εργαλειοθήκης κάθε ομάδας ασφαλείας και εργαζόμαστε σκληρά για τη βελτίωση και την επέκταση του ιδιωτικού μας προγράμματος bounty bug τα τελευταία χρόνια“.
Το 2014, η εταιρεία είχε ανακοινώσει ένα πρόγραμμα αποκάλυψης ευπαθειών, το οποίο ωστόσο δεν έδινε χρηματικές αμοιβές. Μέσω αυτού του προγράμματος, η Cloudflare είχε λάβει 1.197 αναφορές. Ωστόσο, μόνο το 13% από αυτές ήταν έγκυρες επειδή οι ερευνητές δυσκολεύονταν να κατανοήσουν την υποδομή και τα προϊόντα της.
Δείτε επίσης: CISA: Προσθέτει 8 ευπάθειες στη λίστα με τα σφάλματα που χρησιμοποιούνται σε επιθέσεις
Το 2018, η Cloudflare ξεκίνησε ένα private πρόγραμμα bug bounty που στόχευε στην παροχή καλύτερης εμπειρίας για τους ερευνητές. Μέχρι τα μέσα του προηγούμενου μήνα, η εταιρεία είχε δώσει αμοιβές ύψους 211.512 $ για την αποκάλυψη ευπαθειών.
Η εταιρεία κυκλοφόρησε επίσης ένα testing sandbox με το όνομα CumlusFire πριν ανακοινώσει την έναρξη του public bug bounty.
Πλέον, οι ερευνητές/κυνηγοί σφαλμάτων μπορούν να αναφέρουν ευπάθειες ασφαλείας που εντοπίζονται στα προϊόντα Cloudflare, μέσω του νέου public προγράμματος bounty bug της εταιρείας, που φιλοξενείται στην πλατφόρμα HackerOne.
Οι ερευνητές μπορούν να βρουν περισσότερες πληροφορίες για τα προϊόντα της Cloudflare χρησιμοποιώντας το Developer documentation της εταιρείας, το API documentation, το Learning Center και τα υλικά που βρίσκονται στα φόρουμ υποστήριξης της Cloudflare.
Δείτε επίσης: Κρίσιμη ευπάθεια σε WordPress plugin επηρεάζει χιλιάδες sites
Οι αμοιβές που θα λαμβάνουν οι ερευνητές εξαρτώνται από τη σοβαρότητα της ευπάθειας και το προϊόν στο οποίο εντοπίζεται. Δείτε λεπτομέρειες στον παρακάτω πίνακα:
| Severity | Critical (9.0 – 10.0) | High (7.0 – 8.9) | Medium (4.0 – 6.9) | Low (0.1 – 3.9) |
|---|---|---|---|---|
| Primary Targets | $3,000 | $1,000 | $500 | $250 |
| Secondary Targets | $2,700 | $750 | $350 | $200 |
| Other | $2,100 | $500 | $200 | $100 |
“Όπως εξελίξαμε το ιδιωτικό μας πρόγραμμα, θα εξελίξουμε και το public πρόγραμμα bounty bug για να παρέχουμε την καλύτερη εμπειρία στους ερευνητές“, πρόσθεσε ο Shah.
“Στοχεύουμε να προσθέσουμε περισσότερες πλατφόρμες δοκιμών και έναν τρόπο αλληλεπίδρασης με τις ομάδες ασφαλείας μας, ώστε οι ερευνητές να μπορούν να είναι σίγουροι ότι οι υποβολές τους αντιπροσωπεύουν έγκυρα ζητήματα ασφάλειας“.
Πηγή: Bleeping Computer
