聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
漏洞奖励计划在安全意识提升和负责任的漏洞披露方面发挥着不可忽视的作用,获得安全社区越来越多的关注。但也存在问题。
漏洞奖励计划满足了真正的需求。渗透测试人员和研究员以负责任的方式向企业提交漏洞报告,同时漏洞奖励计划为研究人员提供现金奖励。
猎洞不仅仅是一项让安全社区受益的事业,同时也是数百万美元的产业。
去年,HackerOne 平台共支付6200多万美元的奖金,最新报告指出,今年该平台已发放超过1亿美元的奖金。
剽窃 exploit,盗走奖金
像 HackerOne 和 Bugcrowd 这样的平台旨在在安全专业人士之间推广道德、信任和责任文化。遗憾的是,某些人可能滥用这些系统谋取私利。
上周末,安全专业人员 Guido Vranken 表示,向HackerOne 平台上Monero 漏洞奖励计划提交的一份漏洞报告是抄袭自己的。这个漏洞是一个严重的缓冲溢出缺陷 (CVE-2019-6250),是Vranken 从 libzmq 4.1 系列中发现并在2019年1月告知开发人员的。
Vranken 发布推文指出,”呵呵,有人一字不差地复制粘贴了我的 libzmq exploit 和分析,报告给 HackerOne 漏洞奖励平台并拿走了奖金。“
尽管 HackerOne 公司员工此前曾关闭剽窃他人成果的漏洞报告,但仍然难以斩草除根。
在本文撰写期间,Monero 公司的员工在这份 HackerOne 报告中指出,即使该漏洞是剽窃的,但他们无法追回已支付的奖金:“备注:这份漏洞报告盗自 Guido Vranken,而他的原创报告未得到任何致谢。我们忙于问题复现和修复,造成此次疏忽。这种卑劣行径为人不齿。请住手。我们已联系 Guido 支付奖金;遗憾的是,我们无法从 Everton Melo 手中追回这笔奖金。“
这份漏洞报告在2019年7月出现在 HackerOne 平台上,和 Vranken 于2019年1月提交的报告一字不差。
Monero 仔细分析后判断,“4.1 系列似乎不受 CVE-2019-6250 的影响,但受 CVE-2019-13132 的影响,因此向 Melo 发出奖金。“这也是 HackerOne 平台将 CVE-2019-6250 替换为 CVE-2019-13132 的原因所在。
值得注意的是,尽管剽窃是不道德的,但一旦某个漏洞被公开披露,我们无法阻止有些人复制、调整字句并获得致谢和奖金。
为了降低漏洞报告被剽窃的几率,应当以负责任的方式提交漏洞报告,理想情况是私下提交。
除非漏洞报告真实性验证策略和奖金报告策略得到平台的审计,否则仍然存在遭恶意人员滥用的空间。
目前,Vranken 和 Everton Melo 均未置评。
推荐阅读
我发现了一个价值8500美元的 HackerOne 平台漏洞
HackerOne《2019年黑客驱动安全》报告来了:看完你还坚持挖吗?
原文链接
https://www.bleepingcomputer.com/news/security/bug-bounty-reporter-cashes-out-on-someone-elses-exploit/
题图:Pixabay License
文内图:bleepingcomputer
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 吧~
扫一扫
307
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
