Tumult na de Adobe wind naar beneden Magento beloningen op basis van bug bounty ‘ programma

0
107

Nul

magento.png

Het fijnmazige bug-jacht gemeenschap is in rep en roer over Adobe ‘s besluit om een einde aan de Magento beloningen op basis van bug bounty’ programma, dat al actief voor de afgelopen drie jaar.

In een bericht gepost op de officiële Magento bug bounty ‘ programma (BBP) – pagina op Bugcrowd, een online platform voor het indienen van security bugs, Adobe zegt dat het programma op 15 September.

Adobe, die kocht het Magento e-commerce platform en de bijbehorende open-source CMS voor $1,68 miljard in Mei, plannen om het te integreren in haar bestaande HackerOne op basis van kwetsbaarheid openbaarmaking programma (VDP).

Het verschil tussen de twee, met een BBP en een VDP, is die bug jagers monetaire beloningen voor het melden van kwetsbaarheden via BBPs, terwijl VDPs niet zo ‘ n beloning, maar alleen openbare erkenning in van de onderzoeker naam.

Ook: Microsoft-gegevens voor de eerste keer hoe het classificeert Windows security bugs

Adobe volgt dit beleid, en het Adobe-VDP duidelijk staten dit recht in de eerste alinea van de vennootschap HackerOne pagina. Dit is het standaard beleid bij Adobe, het bedrijf dat eerder afgebouwd alle monetaire beloningen programma ‘ s in 2016, wanneer het afsluiten van de Adobe Flash Player bug bounty in augustus van dat jaar.

“Momenteel zijn we op Adobe investeert aanzienlijke middelen, zowel intern als door middel van consulting en crowd-sourced verbintenissen, met inbegrip van penetratie testen, met de security research community op uitgebreide testen als een cruciaal onderdeel van de Adobe Secure Levenscyclus van een Product (of SSPS),” een Adobe woordvoerder vertelde ZDNet via e-mail gisteravond.

“We erkennen en erkenning te geven onderzoekers en andere externe bronnen die de kwetsbaarheid van rapporten in onze security bulletins en een verscheidenheid van andere middelen,” voegde het bedrijf.

Ook: Feedify wordt het laatste slachtoffer van de Magecart malware campagne

Maar de bug jacht gemeenschap is niet blij met de Adobe-besluit.

Willem de Groot, een bekende security-onderzoeker die heeft ontdekt dat een groot aantal van Magento gebaseerde malware campagnes zei dat het bedrijf zou het betreuren zijn besluit in een korte hoeveelheid tijd.

“Adobe is niet gewend aan open source projecten met een hoge waarde beveiliging stakes,” het deskundige commentaar op Twitter.

“Een Magento 0day RCE maakt ~$100K op de zwarte markt. De bug bountry programma was een groot succes, met de onderzoekers van de veiligheid in de rij om hun exploits voor een paar [duizenden],” de Groot toegevoegd. “Een echt koopje, nu in de afvoer.”

“Ik letterlijk geprezen Magento geen einde vandaag voor het maken van een goed voorbeeld die de lijn voor de veiligheid, vooral roepen hun grote bug bounty’ programma en verbeteringen in de communicatie zonder het te weten was geannuleerd,” zei Talesh Seeparsan, een Magento consultant van Ontario.

Hypernode, een cloud hosting platform voor Magento winkels liep een Twitter poll eerder vandaag vragen om feedback van de gemeenschap met betrekking tot de bug bounty ‘programma’ s sluiting.

Op het moment van dit artikel 93 procent van de respondenten beschouwd als Adobe ‘ s bewegen als een fout en zou willen dat het programma een comeback te maken.

Hypernode, die getipt ZDNet over de bug bounty ‘programma’ s lot, ook plannen op het publiceren van een blog post met de onderneming is van mening dat op het probleem later op de dag. [Update: het blog bericht is nu live]

Ook: Exploiteren verkoper druppels Tor Browser zero-day op Twitter

“Dit is een grappig verhaal, inderdaad. Ze ging van een bug bounty ‘ programma zelfs niet betalen van premies voor onderzoekers, gewoon omdat ze dat kan,” Andrea Zapparoli Manzoni, Directeur bij Crowdfense, een platform dat koopt kwetsbaarheden en exploits van onderzoekers en verkoopt hen aan particuliere klanten, vertelde ZDNet via e-mail vandaag.

“Software leveranciers waaruit blijkt weer dat ze niet de zorg over hun gebruikers en veiligheid **, ze alleen maar doen alsof om het te doen voor marketing / PR-redenen,” voegde hij eraan toe.

Maar bug jagers op zoek naar de verkoop van hun Magento kwetsbaarheden zijn van geluk, of op zijn minst met Manzoni ‘ s bedrijf.

“Crowdfense geen deal met [Magento] exploits **,” Manzoni zei. “We richten zich op de ondersteuning van de legale informatie verzamelen activiteiten van onze klanten, wat zijn de overheid, dus voor ons dit soort doelen [online opslag] volledig buiten bereik.”

Dit betekent dat de bug jagers op zoek naar een winst te maken van hun werk, zullen waarschijnlijk eerder geneigd zijn om de verkoop van misbruik op de zwarte markt, zoals het hacken van forums en donkere web marktplaatsen.

Kopers bestaan in overvloed, vooral na cyber-criminele activiteiten zoals Magecart, Visbot, of MagentoCore hebben bewezen zeer succesvol te zijn in het hacken van Magento winkels en de besmetting van winkels met kaart-het stelen van malware.

De Magento bug bounty ‘ programma opgericht omstreeks 2016 na Check Point onderzoekers ontdekten de Winkeldiefstal kwetsbaarheid in het Magento CMS. De kwetsbaarheid geplaagd honderdduizenden Magento sites voor de jaren na zijn ontdekking. Sinds de oprichting van de Magento bug bounty ‘ programma op Bugcrowd, het Magento team beloond 284 onderzoekers met uitbetalingen variëren van $100 tot $10.000 per kwetsbaarheid rapport.

Verwante Onderwerpen:

Beveiliging TV

Data Management

CXO

Datacenters

0