其他
哭!有人偷了我的漏洞报告,还冒领了奖金!
漏洞奖励计划在安全意识提升和负责任的漏洞披露方面发挥着不可忽视的作用,获得安全社区越来越多的关注。但也存在问题。
漏洞奖励计划满足了真正的需求。渗透测试人员和研究员以负责任的方式向企业提交漏洞报告,同时漏洞奖励计划为研究人员提供现金奖励。猎洞不仅仅是一项让安全社区受益的事业,同时也是数百万美元的产业。去年,HackerOne 平台共支付6200多万美元的奖金,最新报告指出,今年该平台已发放超过1亿美元的奖金。
像 HackerOne 和 Bugcrowd 这样的平台旨在在安全专业人士之间推广道德、信任和责任文化。遗憾的是,某些人可能滥用这些系统谋取私利。上周末,安全专业人员 Guido Vranken 表示,向HackerOne 平台上Monero 漏洞奖励计划提交的一份漏洞报告是抄袭自己的。这个漏洞是一个严重的缓冲溢出缺陷 (CVE-2019-6250),是Vranken 从 libzmq 4.1 系列中发现并在2019年1月告知开发人员的。Vranken 发布推文指出,”呵呵,有人一字不差地复制粘贴了我的 libzmq exploit 和分析,报告给 HackerOne 漏洞奖励平台并拿走了奖金。“
尽管 HackerOne 公司员工此前曾关闭剽窃他人成果的漏洞报告,但仍然难以斩草除根。
这份漏洞报告在2019年7月出现在 HackerOne 平台上,和 Vranken 于2019年1月提交的报告一字不差。Monero 仔细分析后判断,“4.1 系列似乎不受 CVE-2019-6250 的影响,但受 CVE-2019-13132 的影响,因此向 Melo 发出奖金。“这也是 HackerOne 平台将 CVE-2019-6250 替换为 CVE-2019-13132 的原因所在。值得注意的是,尽管剽窃是不道德的,但一旦某个漏洞被公开披露,我们无法阻止有些人复制、调整字句并获得致谢和奖金。为了降低漏洞报告被剽窃的几率,应当以负责任的方式提交漏洞报告,理想情况是私下提交。除非漏洞报告真实性验证策略和奖金报告策略得到平台的审计,否则仍然存在遭恶意人员滥用的空间。目前,Vranken 和 Everton Melo 均未置评。
我发现了一个价值8500美元的 HackerOne 平台漏洞
HackerOne《2019年黑客驱动安全》报告来了:看完你还坚持挖吗?
题图:Pixabay License
文内图:bleepingcomputer
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。