MARINETTE VE LUKA💞| Mucize: Uğur Böceği ile Kara Kedi | Disney Channel TR
Ogłoszony przez Twittera program bounty błędów pomógł firmie zidentyfikować i załatać poważną lukę, która potencjalnie mogła zakłócić reklamy na jej platformie.
Ta usterka pozwoliłaby hakerom usunąć karty kredytowe powiązane z kontami na ads.twitter.com , panel kontrolny, za pomocą którego reklamodawcy zarządzają kampaniami na Twitterze, według Ahmeda Aboul-Ela, badacza bezpieczeństwa, który znalazł problem i zgłosił go firmie.
Wykorzystanie luki wymagało wysłania specjalnie spreparowanego żądania do konkretnej strony. Adres URL zawierający sześciocyfrowy identyfikator przypisany do karty kredytowej przechowywanej na platformie
[Więcej informacji: Jak usunąć złośliwe oprogramowanie z nasz komputer z Windows]Haker z blackhat mógł napisać prosty skrypt w Pythonie, aby wysyłać żądania w pętli i przeglądać wszystkie możliwe kombinacje identyfikacyjne, aby usunąć karty kredytowe ze wszystkich kont na Twitterze, powiedział Aboul-Ela w poście na blogu. Mogło to powstrzymać kampanie reklamowe powodujące straty finansowe na Twitterze.
Naukowiec zaczął szukać luk w zabezpieczeniach platformy po przeczytaniu o nowym programie bounty na Twitterze. Firma ogłosiła 3 września, że zacznie płacić co najmniej 140 USD za każdą lukę w zabezpieczeniach badaczom, którzy prywatnie zgłaszają usterki, które odkrywają w swoich usługach sieciowych i aplikacjach mobilnych.
Według strony Twittera na platformie hakerów HackerOne, firma zapłaciła Aboul-Eli 2 800 $ za swój raport, najwyższą nagrodę, jaką dotąd wydał.
Incydent ten wymusza myśl, że programy nagród bug to skuteczna metoda zachęcania badaczy do wyszukiwania luk w zabezpieczeniach i raportowania ich odpowiedzialnie do dotkniętych firm .
Programy nagradzania za podatność mają długą drogę od 2010 roku, kiedy Google stał się jedną z pierwszych firm internetowych, które uruchomiły taki program dla swoich usług online. Wiele firm poszło w tym śladu, w tym Facebook, Yahoo, PayPal, Mozilla i Twitter. Obecnie istnieją nawet platformy takie jak HackerOne, Bugcrowd i CrowdCurity, które mogą pomóc mniejszym firmom w ustanawianiu własnych programów do zgłaszania błędów.
Jednakże, chociaż dobrze wyposażony i wdrożony system nagród za bounty może być bardzo przydatny, źle zarządzany może zrobić więcej szkód niż pożytku, według Ilii Kolochenko, CEO firmy testującej penetrację High-Tech Bridge.
Firmy powinny mieć świadomość, że program lojalnościowy podatności na zagrożenia prawdopodobnie przyciągnie skany i sondy od niedoświadczonych łowców słabych punktów, którzy mogą przypadkowo uszkodzić systemy na żywo, powiedział na blogu w środę. Prowadzenie takich programów wymaga również wyspecjalizowanych, dobrze obsadzonych zespołów bezpieczeństwa, które mogą badać często źle udokumentowane raporty i dowiedzieć się, gdzie leży problem, powiedział.
Usterka łatek na Twitterze, która mogła wpłynąć na konta reklam
Wada bezpieczeństwa została zgłoszona za pośrednictwem nowego programu nagród błędów, a naukowiec został nagrodzony kwotą 2 800 $
Sprawa, która mogłaby uchylić umowę wymiany danych między UE a USA, aby mogła zostać wysłuchana przez najwyższy sąd UE
Jeżeli sąd postanawia odwołać transakcję wymiany danych, która może zaszkodzić amerykańskim firmom technologicznym