Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 16 reacties

Facebook en Google hebben cijfers vrijgegeven van hun bug bounty-programma's. Facebook meldt dat het in totaal 13.233 veiligheidsmeldingen ontving. Google laat weten dat het meer dan 2 miljoen dollar aan beloningen uitdeelde, zonder in te gaan op het totale aantal meldingen.

Van alle meldingen die Facebook ontving in 2015, waren er volgens het sociale netwerk 526 terecht. Daarvoor beloonde Facebook 210 veiligheidsonderzoekers in totaal met 936.000 dollar. Het gros van het geld ging naar onderzoekers uit India, Egypte en Trinidad en Tobago. Gemiddeld kregen ze 1780 dollar voor het melden van een bug.

Een van de belangrijkste bevindingen van Facebook is dat er steeds minder 'laaghangend fruit' te vinden is, ofwel bugs die makkelijk te vinden zijn. Problemen met zaken als cross-site scripting en cross-site request forgery komen steeds minder voor, wat volgens het bedrijf komt doordat de systemen steeds volwassener worden. Van alle gevonden bugs kregen 102 ingediende suggesties het label 'high impact' mee. Daarmee waren er 38 procent meer high impact-bugs dan in 2014. Facebook wijt dat op zijn bug-bounty-blog onder andere aan de kwaliteit van de bug-rapporten. De stap-voor-stap-instructies die geleverd worden zijn beter, waardoor fouten en problemen beter te reproduceren zijn, samen met mogelijke risico's die de bugs kunnen opleveren.

Een andere trend die Facebook ziet, is dat er rapporten geleverd worden door beveiligingsonderzoekers die zich niet richten op enkele bugs, maar op de totale business logic. Daardoor kunnen Facebook-ontwikkelaars hele klassen van kwetsbaarheden in een keer aanpakken. Ook stipt Facebook nog enkele 'highlights' aan. Het was bijvoorbeeld mogelijk om via messenger.com csrf toe te passen omdat de hele bescherming daartegen niet functioneerde. Al na enkele minuten ontving het bedrijf vijftien bug-bounty-meldingen.

Google keerde 2 miljoen dollar uit over het jaar 2015, aan ruim 750 individuen en meer dan 300 anderen. Android werd in juni 2015 aan het Security Award Program toegevoegd. Aan deelnemers van dit programma betaalde Google al meer dan 200.000 dollar. Een beveiligingsonderzoeker ontving zelfs 37.500 dollar voor een bug.

Google startte afgelopen jaar ook met een programma om onderzoekers die al vaker bugs ontdekten, van te voren te betalen, ook zonder dat ze met een nieuw probleem op de proppen kwamen. Deze zogenaamde VRP-grants variëren tussen de 500 en 3.133,7 dollar. Het bedrijf meldt ook het eerste succes dat voortkwam uit deze toelage. Een Russische onderzoeker ontdekte een fout in YouTube Creator Studio, waardoor iedereen elke video van YouTube kon verwijderen door slechts de parameter van de url te wijzigen. Naast de toelage kreeg de onderzoeker hier 5000 dollar voor.

De bug bounty-programma's zorgen niet altijd voor positieve geluiden. Onlangs ontdekte een onderzoeker een beveiligingslek op een Instagram-server, waarna hij, nadat hij een beloning had ontvangen, verder ging zoeken, weer fouten vond en deze meldde aan Facebook. Daarvan vond Facebook dat de onderzoeker te ver ging.

Moderatie-faq Wijzig weergave

Reacties (16)

De bug bounty-programma's zorgen niet altijd voor positieve geluiden. Onlangs ontdekte een onderzoeker een beveiligingslek op een Instagram-server, waarna hij, nadat hij een beloning had ontvangen, verder ging zoeken, weer fouten vond en deze meldde aan Facebook. Daarvan vond Facebook dat de onderzoeker te ver ging.
Mwoah, conclusie was volgens mij dat de onderzoeker ook echt te ver was gegaan en vervolgens liep te klagen dat hij te weinig geld uitgekeerd kreeg. Dat zijn niet echt negatieve geluiden over het bug-bounty programma, maar eerder een onderzoeker die zichzelf belachelijk maakt.
Nee dit was een onderzoeker die dmv een bug in het systeem is weten te komen. Dit heeft gemeld vervolgens dmv de bug meer toegang heeft gekregen tot privacy gevoelige informatie door weer een andere bug. Hierbij werd de onderzoeker op z'n vingers getikt en vond het betreffende bedrijf dat hij niks kreeg voor het melden van de laatste bug.

Bron? Geen idee ik ga eens op zoek voor je :)
[...] door weer een andere bug.
Nee, zeker niet. Als je de Facebook post leest zie je dat hij simpelweg toen hij binnen was een AWS API key heeft gebruikt die voor die applicatie beschikbaar was (zolang je dit soort keys afgeschermd houdt van de buitenwereld is er niets aan de hand) om toegang te krijgen tot een S3 bucket. Het vinden en gebruiken van die key is zeer zeker te ver gaan omdat zo'n S3 bucket alleen maar data bevat (het lijkt erop dat het met name systeem logs en info betreft), en dus niet onder het zoeken van bugs valt.

[Reactie gewijzigd door Alpacalex op 10 februari 2016 13:28]

Ik deed het uit mijn blote bolletje, had stomweg over de eerder genoemde links heen gelezen. Maar inderdaad zoals je stelt.

Desalniettemin, hij is wel te ver gegaan.
Hoezo te ver? Het leek meer een poging van Facebook om de aandacht af te leiden van de toch wel erg slordig ingerichte beveiliging.
Omdat Facebook in hun bug bounty programma duidelijk in de spelregels heeft gezet dat je een lek mag constateren maar niet zelf uit mag gaan zoeken wat het potentiele gevolg er van kan zijn. Dat heeft deze onderzoeker wel gedaan, en dus buiten de regels van het bounty programma gehandeld. Facebook is dus genereus dat ze uberhaupt nog geld toekennen.
Hoezo? Omdat ze een AWS key op de server hebben? Hij was binnen op de server en is daarna verder gaan graven. Maar hij was al binnen op de server, dus kon toch al bijna alles.
Zeker niet, of hij te ver is gegaan of niet, was helemaal het punt niet, evenals de financiŽle vergoeding. wat wel naar was, was dat, terwijl deze kerel op eigen naam werkte, Facebook naar zijn baas stapte en daar met juridische stappen dreigde naar het bedrijf waar die man voor werkte, terwijl het bedrijf hier helemaal geen partij was. Iets wat hem gemakkelijk zijn baan had kunnen kosten in Amerika. DAT soort praktijken hoort gewoon niet. Of die man nu te ver ging of niet, Facebook had nooit naar zijn werkgever mogen stappen, omdat dit allemaal op persoonlijke titel gebeurde.
Volgens Facebook heeft hij contact opgenomen via een e-mail adres van z'n werkgever. Dan hebben ze mijns inziens ook gewoon het recht om contact op te nemen met het bedrijf waar hij werkt.

Ik geloof Facebook hierin toch sneller dan de onderzoeker die op mij overkwam als erg gefrustreerd omdat hij naar eigen zeggen een miljoen dollar was misgelopen.*

*
offtopic:
Facebook heeft ooit eens gezegd dat ze bij de "million dollar bug" ook echt een miljoen uit zouden keren aan bounty. Volgens de onderzoeker was dit de million dollar bug omdat de potentiele gevolgen er van gigantisch waren.
Geweldig dat bedrijven dit doen :)
Het is voor hun goedkoper dan personeel er voor aannemen.
Dat is waar, maar het is ook veel effectiever.

Hoe meer mensen naar bugs zoeken, hoe beter.

Daarnaast heb je nog steeds een heel team aan personeel nodig dat ook begrijpt wat er gemeld wordt, dus uiteindelijk valt het wel mee qua besparen op personeel.

[Reactie gewijzigd door Lethalis op 10 februari 2016 11:48]

Begrijpen wat er gemeld wordt is 1, maar daadwerkelijk de bug vinden is iets anders. Onthoud wel dat het hier gaag om de mensen die deze bug in eerste instantie hebben gecreŽerd. De taak om het op te lossen komt uiteindelijk wel weer terug op het bordje van de ontwikkelaar die waarschijnlijk allemaal minimaal 1 bug op hun naam hebben staan.

Het vinden van dergelijke problemen gaat veel efficiŽnter als je duizenden mensen gratis een "code review" laat doen en vervolgens beloningen uitkeert voor het vinden en melden van ernstige fouten.
En goedkoper dan de eventuele schade van de gevolgen als iemand die een bruikbare high impact bug doorverkoopt op de zwarte markt ;)
dus bug vinden en gemiddeld 1800 euro opstrijken :)

Op dit item kan niet meer gereageerd worden.



Samsung Galaxy S7 edge Athom Homey Apple iPhone SE Raspberry Pi 3 Apple iPad Pro Wi-Fi (2016) HTC 10 Hitman (2016) LG G5

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True