Cloudflare begint publiek bugbountyprogramma

Cloudflare begint een publiek bugbountyprogramma. Het bedrijf beloont securityonderzoekers via HackerOne met uitkeringen van tussen de 100 en 3000 dollar voor het vinden van kwetsbaarheden in het platform.

Het nieuwe bugbountyprogramma is grotendeels hetzelfde als het private programma dat Cloudflare sinds 2018 aanbood. Het verschil is vooral dat het programma voortaan wordt uitgebaat via HackerOne. Cloudflare schrijft in een blogpost dat het de komende tijd meer documentatie wil uitbrengen en het programma verder wil professionaliseren, maar het programma zal niet fundamenteel veranderen. Met het publieke bugbountyprogramma kunnen beveiligingsonderzoekers alle kwetsbaarheden melden in ieder Cloudflare-product.

Daarbij maakt Cloudflare wel onderscheid tussen primaire en secundaire software, en een derde categorie die het 'anders' noemt. Primaire doelen zijn bijvoorbeeld de 1.1.1.1-resolver of Pages, en onder de secundaire doelwitten vallen api's. Ook de website of openbare repo's op GitHub vallen binnen de scope, maar dan onder de 'anders'-categorie. De beloningen lopen uiteen van 100 dollar voor een lage score tot 3000 dollar voor een Critical-bug in een primair doelwit.

Cloudflare begon in 2014 met een responsibledisclosurebeleid, en stapte in 2018 over op een gesloten bugbountyprogramma met beloningen en afgebakende scopes. Sindsdien zegt het bedrijf 211.512 dollar of zo'n 187.000 euro te hebben uitgekeerd aan bugbounties. Bijna de helft daarvan werd in 2021 uitgedeeld. Sinds het officiële gesloten programma van start ging zijn er 430 meldingen binnengekomen, waarvan er 292 leidden tot een bugfix en bijbehorende beloning. De bestverdienende deelnemer van het programma verdiende in totaal 54.800 dollar.

Cloudflare Bugbountyprogramma

Door Tijs Hofmans

Nieuwscoördinator

03-02-2022 • 08:32

27

Reacties (27)

27
27
25
2
0
1
Wijzig sortering
Ik ben zelf al een aantal jaar actief als bug bounty hunter en sinds de afgelopen 2 jaar doe ik dit full time.
3k voor een critical is echt een lachertje en hiermee trek je zeker niet de juiste mensen aan.

Het probleem is meestal met deze publieke programma's dat ze met opzet te laag betalen, zet een 0 achter elk bedrag in de pay table en je hebt in eens duizenden mensen die je infrastructuur proberen aan te vallen.
De meeste programma's zijn gewoon nog niet volwassen genoeg om hier mee om te gaan.

Als je kijkt naar de prive programma's waar meestal niet meer dan 100 mensen een invite voor hebben dan zie je hele andere bedragen.
Een critical begint dan ineens bij 25k en kan oplopen tot 100k of meer.

Het argument wat je vaak ziet voor lage bedragen en dat je veel meer kan krijgen op de black market is vaak ook gewoon niet waar.
Nu is Cloudflare misschien wel een uitzondering hiervoor maar de black market zit echt niet te wachten op een random RCE of SQLi in bedrijf X, misschien voor een paar honderd dollar maar echt niet voor duizenden dollars.
Ik heb het ook een tijd gedaan als hobby en om wat bij te leren ook gezien mijn beroepscontext (die kennis komt me wel van pas) maar had toch snel mijn buik vol van het publieke programma's wereldje op de grote platformen. Doorgaans betaalt het in verhouding met de gespendeerde tijd gewoon erg mager en dat is er dan nog vanuit gaande dat bedrijven echt willen betalen.. mlijn ervaring was dat velen alle mogelijke excuses proberen te gebruiken om het toch maar niet te moeten registreren en uitbetalen. Wanneer je dan een week of twee later eens checked of ze "niet erkende" bug gefixed hebben is hij meestal toch wel opeens ok ..
Ik weet niet zo goed wat ik van dit soort dingen moet denken.
Als je het vergelijkt met alleen een bedankmailtje of een t-shirt ofzo is het wel leuk.
Als je een beloning verwacht naar waarde van de melding slaat het natuurlijk nergens op. $3000 voor een kritieke issue op de belangrijkste infrastructuur van Cloudflare? Dan verwacht ik toch eerder $30.000...
Waarom zoveel? Oprechte vraag hoeveel tijd zo je kwijt zijn om zo'n issue te vinden?
Waarom zoveel? Om te voorkomen dat je de bug verkoopt aan een bedrijf als Zerodium.

Even als voorbeeld, stel je vind een bug bij cloudflare. Als je dat bij hen meld kun je een bounty krijgen van $3000. Als je deze bij Zerodium meldt dan kan dat bedrag zo maar oplopen tot enkele tonnen. Zerodium's schaal loopt van $1 tot $1.000.000 voor exploits.

Nu is een bug natuurlijk niet meteen een exploit, en niet elke exploit doet veel kwaad, maar stel dat jij van elke cloudflare klant de origin ip's kan achterhalen dan zal zerodium daar ook best wel interesse in hebben en dan moet je de keuze maken tussen een ethische $3.000 of een iets minder ethische $60.000
Zerodium betaalt niet uit bij bugs bij diensten
Die kwam zo snel in mij op als voorbeeld van een dienst die wel grof geld neerlegt voor (grote) exploits; zie het maar als een generieke '0-day vendor' :)
AuteurTijsZonderH Nieuwscoördinator @Kees3 februari 2022 09:38
Precies. 5 jaar geleden had je nog weg kunnen komen met "maar beveiligingsonderzoekers hebben een sterk ethisch kompas en doen dit grotendeels omdat ze iets goeds willen doen" maar inmiddels zijn de bedragen zó uiteenlopend binnen de witte en zwarte markt dat je daar niet meer mee wegkomt. En het bedrijfsleven (waaronder Cloudflare) moet daar wel echt met een beter antwoord op komen denk ik.
Heel veel tijd, dat doe je niet even in een middagje. Honderd pogingen zullen falen, maar de poging daarop lukt het je misschien om een bug te vinden. Niet alleen de tijd om die ene bug te vinden moet betaalt worden maar ook de 100 pogingen ervoor. Vind ik dan :)
Of heel weinig tijd, als je per toeval tegen een bug/exploit loopt.

Tijd is ook niet echt een goede maatstaf, aangezien het niet alleen maar draait om tijd. Als het om tijd zou draaien, dan heeft CF voldoende budget om tijd te creëren.

Voor de 1e bug/exploit is 1 dag heel snel, bij een andere bug/exploit ben je blij als je het na een week duidelijk onder de knie hebt. En dat heeft dan weer niks te maken met de severity.
Een makkelijke bug/exploit kan ook een hoge severity hebben.
Omdat de schade die aangericht kan worden wanneer je een kritieke issue uitbuit, vaak in de miljoenen dollars loopt. Dat zal de redenering zijn die de meeste tweakers hier hanteren.
Goede vraag. Dat kan verschillen van minder dan een uur tot vele dagen (als je fanatiek genoeg bent).
Ik bedoelde waarde hier niet zozeer als de hoeveelheid tijd die besteed is aan het vinden van het issue, maar als de impact voor het bedrijf die misbruik van het issue kan hebben.

Als je vanuit de impact redeneert is een kritieke issue bij een grote partij veel meer waard dan een kritieke issue op de website van de groentenboer.
Dat verschilt natuurlijk. Soms heb je geluk en stuit je bij toeval op iets. Soms gaat iemand bewust op zoek naar kwetsbaarheden en spendeert daar vele weken misschien wel maanden tijd aan.

Maar je moet het niet alleen zien vanuit het perspectief van de hacker cq. de ontvanger van het geld. Je moet het ook in relatie zien tot de potentiele schade van Cloudflare. Als zo'n 'ethische hacker' een miljoenenstrop voor Cloudflare voorkomt, maar daar zelf amper een boterham van kan smeren, dan staat het naar mijn idee niet in verhouding.

Bedrijven maken continue risico analyses / risk assessments waarbij de kans op het ontstaan van probleem X wordt afgezet tegen de gevolgen daarvan, zoals financiele schade. Op basis daarvan kun je dan keuzes maken of je bijvoorbeeld extra geld aan security wil uitgeven.

Ik denk dat hier de investering (de vergoeding) voor het voorkomen van kritieke problemen niet in verhouding staan. Meestal zijn beveiligingskosten kosten die je periodiek kwijt bent zonder dat het aantoonbaar iets oplevert. In dit geval is het anders.. Er komt iemand met een exploit binnen wandelen, die kun je dan direct "afkopen". Je koopt dus letterlijk een dreiging af waarvan je direct weet wat het aan schade voorkomt en wat de mitigatie (de vergoeding) kost. Dat is veel tastbaarder dan maandelijks een X bedrag stoppen in beveiliging van je infrastructuur.
Onlangs gaf een bedrijf een hacker een bounty van 2 miljoen, omdat de beoogde schade van zijn bevinding 850 miljoen was. Meer info: https://cointelegraph.com...omised-850m-in-user-funds
Langs de andere kant, de hoogstverdiende zit al op 58K, moest hij/zij x10 krijgen zouden ze hem nu al een half miljoen moeten gegeven hebben?
Ik zou zeggen van wel.
Iemand die zo goed is in het vinden van issues en het vervolgens ook nog doet zonder verveeld te raken is heel zeldzaam en daarmee goud waard.

Een half miljoen is nog steeds een schijntje vergeleken met de hoeveelheid geld die omgaat in die diensten.
Ironisch genoeg denk ik dat torenhoge bounties langs één kant wel eens een omgekeerd effect zouden kunnen hebben, wanneer je , bij wijze van spreken, op pensioen kan na het vinden van een critical of 5 ga je wel serieus wat risico hebben dat de grootste talenten niet actief blijven werken.

Passie voor het hunten moet je zeker wel hebben anders word je nooit zo goed maar er zijn echt wel grenzen, ook de meesten van hun willen nog wel andere dingen uit hun leven halen dan bugs zoeken.
Ik dacht meer aan $300.000...
We hebben het hier over een bedrijf met een marktwaarde van 32 miljard, dat in de afgelopen 4 jaar blijkbaar 200k aan bounties heeft uitgekeerd. Ze geven ook aan:
We also believed that financially supporting researchers would incentivize higher quality reports and deeper security research.
Een dergelijke uitspraak is toch niet serieus te nemen met deze lage bedragen? Als ze echt willen dat mensen bugs voor ze gaan zoeken en bij ze rapporteren dan zouden ze ook serieus de portemonnee moeten trekken.
Bor Coördinator Frontpage Admins / FP Powermod @MikeN3 februari 2022 08:48
De omzet van een bedrijf heeft an sich niets te maken met de hoogte van een bug bounty wat mij betreft. De uitkering bij een bug die aan de voorwaarden voldoet moet in lijn zijn met de effort en de dreiging die de bug veroorzaakt. Zo lang dit het geval is is het bug bounty programma voor beide partijen interessant.

Een bug bounty programma wordt vaak ingezet naast de testen en onderzoeken die het bedrijf zelf al laat doen (red teaming, pentests etc) en is bedoelt voor de ethische hackers / security onderzoekers.

[Reactie gewijzigd door Bor op 24 juli 2024 01:33]

Maar de omzet zegt wel iets over die dreiging die van een bug uitgaat, en waarschijnlijk ook over de effort die je in het vinden moet steken. Overigens noemde ik de marktwaarde, omdat dat beter aangeeft hoeveel dit bedrijf onze maatschappij blijkbaar waard is.

Een securityissue bij Cloudflare kan een enorme impact op het internet als geheel hebben (Cloudbleed anyone?). In mijn ogen zou de vergoeding daarmee in lijn moeten zijn, en ik vind hem dat nu niet.
De omzet van een bedrijf heeft an sich niets te maken met de hoogte van een bug bounty wat mij betreft. De uitkering bij een bug die aan de voorwaarden voldoet moet in lijn zijn met de effort en de dreiging die de bug veroorzaakt.
De omzet van een IT bedrijf is toch wel een beetje een indicator voor hoe moeilijk het zal zijn om bugs in te vinden (als je dat bedoelt met 'de effort'). Je zegt het al zelf, de bug bounty wordt naast hun eigen team opgezet dat betaald wordt middels deze miljardenomzet.

[Reactie gewijzigd door Waswat op 24 juli 2024 01:33]

Omzet is iets anders dan marktwaarde. De marktwaarde wordt bepaald door aantal aandelen en koers. Marktwaarde zegt naar mijn mening niets over of de bounties hoog of laag moeten zijn.

Wat is gebruikelijk in deze markt bij dit soort kleinere bedrijven? Niet te vergelijken met een Google of Microsoft.

Overigens was de omzet van Cloudflare ~640mio in 2021... geen hele schokkende bedragen.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 01:33]

Het probleem lijkt me niet dat ze meer zouden kunnen betalen. Het is onduidelijk hoe ze tot hun conclussie komen. Ze hadden net zo goed kunnen beweren dat 1% van het IT-budget reserveren voor hogere kwaliteit gaat zorgen, zonder ook maar een onderbouwing te geven waarom dat een redelijke aanname is. De vraag is dus hoe ze aantonen door het programma uit te besteden aan een ander bedrijf.
offtopic
Marktwaarde zegt niks, helemaal niet over VS-bedrijven 🙂

Niet altijd geloven wat de NOS je voorschotelt of RTL je probeert te verkopen.


Je hebt aan de ene kant reële economie en daarnaast heb je de beurzen waarbij vooral de VS beurzen compleet uit de pas zijn gaan lopen.

Een aandeel wordt gewaardeerd op basis van verschillende factoren, daadwerkelijke prestaties (omzet/winst) en potentie,

maar daar is een factor bij geglipt wat nog steeds niet in toom is gehouden en dat is waardevermeerdering wat ook makkelijk kon omdat de rente zo laag was. Daar werd ook volop mee gemanipuleerd met onder andere aandelen terugkopen. Als je de vraag kunstmatig hoog gaat houden, dan blijft het aandeel relatief hoog staan en dat truukje voeren ze al een paar jaar uit in de VS en dat is een ordinair pyramide-spel geworden wat gedoemd is te barsten.

Nu de rente een klein beetje gaat stijgen en portfolio’s opnieuw gerangschikt moeten worden zie je dat een klein beetje kapitaal verschuiving precies het tegenovergestelde bereikt maar dan in snelvaart. Ondanks extreem hoge winsten, aandelen die worden teruggekocht, lijken aandelen in te storten omdat er meer aanbod komt en geld lenen meer geld gaat kosten waardoor het risico op waardevermindering dusdanig hoog wordt dat mensen van de aandelen af willen.


A perfect storm noemen ze dat 🙂

India heeft buy backs al lange tijd ingeperkt en China is ook al langere tijd allerlei leen constructies onder de loep aan het nemen wat je direct zag terugkomen op de beurs. Nu de VS (en EU) nog.

[Reactie gewijzigd door Iblies op 24 juli 2024 01:33]

Volgens mij is $3000 dollar niet iets wat een hacker serieus neemt. Op de black market zijn kritieke lekken het 10-50 voudige waard, dus waarom zou je het dan nog bij cloudflare melden?
Als ik een 10.0 lek vindt, kan ik die beter verkopen op het darknet dan 3k vangen van cloudfare.
Leuk idee, maar je moet wel heel erg moreel sterk zijn om dat niet te doen.

Op dit item kan niet meer gereageerd worden.