Tweakers start bugbounty-programma op intigriti

In 2015 kondigden we aan dat we een responsible-disclosurebeleid hadden opgesteld. In de jaren daarna kwam daarvoor af en toe een melding binnen, maar het waren vaak kleine problemen, die bovendien zelden tot nooit echt te misbruiken waren. Omdat we ook periodiek pen tests doen, hebben we tot nu toe weinig moeite gedaan om mensen enthousiast te maken om beveiligingsproblemen te vinden en te melden.

Bugbounty-programma op intigriti

Desondanks vonden we het zonde dat het responsible-disclosurebeleid er niet toe leidde dat onze beveiliging wat meer en vooral actiever always on werd doorgelicht. Dit kwam ter sprake met een paar van onze Persgroep-collega's die in de hoek van beveiliging actief zijn. Zij waren eerder al voor enkele kleine Belgische sites een samenwerking aangegaan met het ethical hacker platform intigriti.
Intigriti is een Belgisch bugbountyplatform dat begin vorig jaar werd gelanceerd. Ook in België werken steeds meer bedrijven met ethical hackers: onder andere Kinepolis, De Persgroep, Brussels Airlines, bpost en Vasco laten hun beveiliging nakijken door deze community.
En ze wilden ons graag ook op dat platform aansluiten om de wens voor always-ondoorlichten daadwerkelijk vorm te geven.

Intigriti biedt een platform met een grote groep security researchers die het leuk vinden om beveiligingslekken op te sporen, maar daar uiteraard graag een beloning voor krijgen. Het platform neemt daarnaast een groot deel van de communicatie met die researchers uit handen en leidt het uitkeren van die beloningen in goede banen. Dat lukt ook vaak: volgens intigriti vinden de hackers in 77% van de gevallen minstens één kritiek beveiligingslek binnen de 24 uur.

Voorlopige uitkomst

We zijn intussen twee weken live en hebben al de nodige meldingen gekregen. De teller staat op 35, waarvan ruim veertig procent daadwerkelijk als melding is geaccepteerd. Daarvan waren er uiteindelijk 8 die ook een beloning hebben gekregen. Het bleek bijvoorbeeld dat we toch nog hier en daar gevoelig waren voor cross site scripting (XSS), gelukkig alleen de wat minder kwalijke, reflected variant, en ook kwam insecure direct object reference (IDOR) op een paar plekken voor.

Bij de afwijzingen zaten ook interessante meldingen. Zo had iemand gemeld dat we remote code execution met Ruby-code zouden hebben. Aangezien Tweakers geen regel Ruby bevat en daarom niet eens de bijbehorende executables op de servers heeft, verbaasde die melding ons. Gelukkig stelde een medewerker van intigriti al voor ons vast dat het ging om een false positive in het desbetreffende testprogramma. Daarnaast had iemand ontdekt dat we php-code open en bloot hadden staan, wat gelukkig bleek te gaan om codevoorbeelden van oude programming-faq's.

Meedoen

Als je mee wilt doen, ben je uiteraard meer dan welkom om je aan te melden en ons project op intigriti te bekijken. De maximaal te verdienen beloning is tweeduizend euro, hoewel we natuurlijk hopen dat we dat nooit hoeven uit te keren. Het project loopt in principe 'oneindig' door, maar mocht ons budget opraken, dan wordt het automatisch stopgezet, tenzij we voor die tijd besluiten nog wat extra in de prijzenpot te stoppen.

We verwachten uiteraard wel dat je je aan de gestelde voorwaarden houdt. We vragen bijvoorbeeld om je onderzoeksaccount weer te verwijderen en niet uitgebreid automatisch te scannen. Hoewel het merendeel zich hier netjes aan houdt, zijn er echter intussen tientallen extra ip's aan onze firewall toegevoegd

Overigens is de tekst op intigriti leidend voor de beloningen, de staat van het project en de voorwaarden. Dat verhaal wordt één keer geschreven en in principe niet steeds bijgewerkt, hoewel het natuurlijk kan zijn dat we nog zaken aanpassen aan het project naarmate we meer meldingen binnenkrijgen. Bijvoorbeeld om nog wat elementen van Tweakers out of scope te plaatsen, omdat we daar geen invloed op kunnen uitoefenen.

Dus, hack mee en sleep die bounty in de wacht!

Tweakers op intigriti

Lees meer

IT-banen

Reacties (22)

svennd 6 augustus 2018 11:29

Klinkt toch een beetje alsof security onderzoekers nauwelijks het zout in de pap verdienen als ze zich op zulke projecten moeten gooien... Managers zien dat natuurlijk graag : enkel betalen als er resultaat is...

Veiligheid is zoveel meer dan enkel je front page beschermen... Wat als Tweakers paswoorden plain text opslaat, of md5 maakt toch geen fluit verschil meer uit ?

Enkel het Imago wordt hierdoor beschermd niet de echte data ... Het is natuurlijk voor "kleine" bedrijven een goeie methode om toch een goed beleid te voeren zonder peperdure onderzoekers op de vloer te moeten hebben.

Auteur

ACM Software Architect @svennd • 6 augustus 2018 11:50

Je bent wel heel negatief; volgens mij zijn juist veel researchers blij met dit soort platformen omdat ze zo al freelancend (de positieve variant) een heel divers portfolio aan sites kunnen testen. Ook in het - voor hun - buitenland.

En je suggestie dat het goedkoper is, is niet zomaar waar. Het hangt er uiteraard van af door wie je het laten doen, hoe uitgebreid/breed de opdracht is en hoe ver ze moeten gaan met hun onderzoek. Maar mijn ervaring is dat je voor het bedrag van een gedegen eenmalig onderzoek niet eens zo heel veel van de "high" issues kan uitbetalen, en dat gaat natuurlijk nog harder met critical of erger.
Het hangt er daardoor sterk van af wat er gevonden wordt; als je mee doet op zo'n platform en er worden tientallen 'critical issues' gevonden, dan is het vast duurder dan een eenmalig gedegen onderzoek. Maar als er bij dat eenmalige onderzoek weinig wordt gevonden... dan is dit weer goedkoper.

Overigens staat er in de tekst al dat we dit er naast doen, de periodieke onderzoeken blijven ook bestaan.

Voor wat betreft je opmerking over plain text wachtwoorden; in theorie is dat geen probleem, zolang niemand maar bij die wachtwoorden kan komen. En dat er niet bij kunnen komen wordt hier juist wel mee getest.
Overigens gebruiken we daarvoor bcrypt en verwacht ik dat we na de overgang op php7.2 dat aan gaan passen naar argon2i (voor nieuw accounts en logins).

Als je dat trouwens van een eenmalig onderzoek verwacht, dan heb je het wel over een dure variant van beveiligingsonderzoeken. Meestal wordt er 'black box' onderzocht, en niet een algehele doorlichting van je applicatie en/of platform.

mbb @ACM • 6 augustus 2018 20:44

Overigens is deze ervaring van jullie ook een interessant onderwerp voor een achtergrond artikel

; waarom doe je dit, waarom juist *dat* platform, hoe worden beloningen gekozen etc.

(en voor de starters met kleine sites; wat moet je zelf al nalopen/expert voor inhuren zodat de eerste weken geen bugbounty-hamsterweken zijn die je een fortuin kosten. )
En daarna nog een background van de mensen die dit werk doen,

Auteur

ACM Software Architect @mbb • 6 augustus 2018 20:53

hoe worden beloningen gekozen etc.
(en voor de starters met kleine sites; wat moet je zelf al nalopen/expert voor inhuren zodat de eerste weken geen bugbounty-hamsterweken zijn die je een fortuin kosten. )

Een van de redenen voor dit platform (en er zijn natuurlijk meer die dat doen), is dat ze je juist met die zaken helpen. O.a. met tips hoe je om moet gaan met reports en daarnaast het nodige voorwerk om meldingen te filteren (can(not) reproduce, duplicaat, not a bug, out of scope, reality check van de voorgestelde ernst door de reporter, e.a.).

Maar die keuze was dus al grotendeels gemaakt door collega's, wij zagen geen reden nog uitgebreid naar anderen te kijken.

[Reactie gewijzigd door ACM op 24 juli 2024 04:46]

Complexity 6 augustus 2018 11:18

Bij de beschrijving staat dat er niet uitebreid gescand mag worden.
Dit is iets wat me niet helemaal duidelijk is.

Tools zoals nmap en burpsuite zijn tools die scannen voor HTTP en open poorten.
Zijn dit dan tools die niet gebruikt mogen worden om vulnerabilities in jullie website / omgeving op te sporen?

Graag iets meer duidelijkheid :-)

Kees BOFH @Complexity • 6 augustus 2018 11:34

Het 'probleem' met die suites is dat ze vaak erg veel requests genereren en dat wij daar een beveiling voor hebben. We snappen dat je niet alles handmatig kan testen, maar we gaan ook niet onze beveiliging uitzetten om automatisch tools toe te staan.

djwice

@Kees • 7 augustus 2018 01:49

Ik neem aan dat jullie hier beter mee omgaan dan ING. Het gaat me vaak niet om of ik geld krijg maar dat het wordt opgelost.

En als ik dan screenshots van een tool toevoeg, gewoon omdat hij 1 onderdeel duidelijk visualiseert waar ik een opmerking over maak, wordt er niet verder naar gekeken en wordt gezegd;

Automatic scans results are not accepted in this proces. Please provide some other poc showing the vulnerability. Please provide us with this information so we can better investigate your finding.

Terwijl er netjes in de tekst staat hoe je in hun geval een m.i.m. attack kunt uitvoeren. En hoe ze bepaalde risico's kunnen mitigeren die eerder in het nieuws zijn geweest, die ze op dit moment niet mitigeren (en tweakers.net wel). Maar het lijkt alsof ze dat niet lezen als ze een screenshot van een tool zien.

Ik vind het te omslachtig om uit te leggen hoe iemand http-headers, dns-settings of protocollen kan testen, dat kan een tool gewoon goed, snel en duidelijk visualiseren en als er al een CVE van een gebruikte lib bekend is, ga ik die echt niet nog eens opnieuw beschrijven. Het lijkt er op dat liever wil dat je dat wel doet. Gelukkig zijn de meeste settings bij hun goed en kunnen CVE in libs vaak niet misbruikt worden door andere instellingen, alleen vergeten ze soms bepaalde type pagina's.

[Reactie gewijzigd door djwice op 24 juli 2024 04:46]

Auteur

ACM Software Architect @Complexity • 6 augustus 2018 11:40

Naast wat Kees zegt testen ze ook nog eens vaak heel 'dom'. Bijvoorbeeld bij de search engine allerlei zoekopdrachten die geen ander gedrag gaan opleveren dan de eerdere. Er was er bijvoorbeeld een die op 'shop', 'shops', 'product', 'products' en een heleboel andere keywords aan het zoeken was omdat dat blijkbaar bij een bepaald soort web-platform (geen idee welke) tot potentiele issues zou kunnen leiden. Maar wij gebruiken dat platform niet, dus was er erg veel onnodige zoekopdrachten die technisch gezien gewoon herhalingen waren.

Een ander voorbeeld van onnodig verkeer is natuurlijk bij ieder nieuwsbericht opnieuw kijken of er toevallig bij deze volgende dan wel iets kwalijk is... Terwijl het domweg dezelfde code raakt.

Kortom, daar kan veel slimmer mee omgegaan worden als er hier en daar wat intelligentie wordt toegepast bovenop de standaardtooling

Complexity @ACM • 6 augustus 2018 12:01

Bedankt voor de verduidelijking :-)

Jerie

@Complexity • 6 augustus 2018 13:42

Die tools kunnen ze ook wel intern testen. Het gaat juist om de creativiteit van de aanvaller. Vroeger noemden we de gebruikers van dergelijke tools overigens scriptkiddies.

Verwijderd 6 augustus 2018 11:12

Maximaal €2000.. hoeveel mensen zouden bereid zijn het dubbele te leggen voor een zero day op tweakers...

Zenomyscus @Verwijderd • 6 augustus 2018 12:57

Tel daar het risico om gepakt te worden bovenop, met de kans je baan te verliezen en moeilijk in de ICT aan de slag te gaan. Dan is het dubbele wellicht niet zo interessant. Ik zou liever legaal 2000 euro nemen, dan illegaal 4000. Maargoed, ieder zijn ding

Verwijderd @Zenomyscus • 6 augustus 2018 14:55

Ja alles valt of staat met een goed plan van aanpak he.

Maar het idee is goed. Op een verantwoorde wijze je site laten checken op bugs, flaws en / of potentieele exploits.

Alex @Zenomyscus • 6 augustus 2018 16:45

Grappig, want dat moeilijk aan de slag komen valt wel mee. Er is een groot te kort aan ITers en dat betekent simpelweg dat bedrijven de ethische barrières laten zakken. Zelfs bij grote banken e.d..
Of - en dat gebeurd nog vaker - je sticht een eenmansbedrijfje en vermeldt gewoon niet dat jouw ene medewerker(jijzelf) iets op de kerfstok heeft.

Xecuter NL 6 augustus 2018 09:13

En dat terwijl jullie naast Zerocopter gehuisvest zitten in Amsterdam...

Inspector @Xecuter NL • 6 augustus 2018 09:28

Er zijn inderdaad meerdere partijen die zich op deze markt focussen. Intigriti was voor ons echter een bekende. Een bekende waarbij meerdere van onze zuster organisaties zich ook hebben aangesloten. Dit gaf een vorm van vertrouwen en samenwerking op grotere schaal. Daarnaast benaderde intgriti ons en hebben ze ons proactief geholpen met aansluiten en beoordelen. Zerocopter zal zeker een prima platform zijn maar enkel afstand is natuurlijk niet genoeg om hier ook per definite de keuze op te laten vallen

ps: zojuist van onze architect vernomen dat Zerocopter in het verleden met eenzelfde voorstel bij ons langs is geweest. Echter zijn we verder gegaan met intigriti vanwegze de al bestaande contracten en platformen bij de Persgroep.

[Reactie gewijzigd door Inspector op 24 juli 2024 04:46]

W.Zijlstra. @Inspector • 6 augustus 2018 09:59

En waarom niet HackerOne?

the_stickie @W.Zijlstra. • 6 augustus 2018 10:32

Waarom andere partijen niet aan bod komen, is eigenlijk niet relevant. Er zijn zoveel mogelijkheden dat het niet mogelijk is alles te onderzoeken.
Wat wél relevant is, is waarom deze partij gekozen is. Zoals Inspector duidelijk aangeeft, was dat een positieve keuze omwille van bekendheid en vertrouwen, en geen negatieve keuze omdat anderen niet zouden voldoen.
Dat lijkt me zeer verstandig, omdat een marktonderzoek een tijdrovende/dure bezigheid is en er sowieso van aan de start een partij is mét "all boxes ticked" die nog eens een streepje voor heeft op de rest (omwille van de bestaande zakelijke relaties en het daaruit gepuurde vertrouwen).
Als je een interessant commercieel aanbod krijgt, hoef je niet persé de hele markt te (leren) kennen om dat op een gezonde manier te overwegen.

[Reactie gewijzigd door the_stickie op 24 juli 2024 04:46]

Zenomyscus 6 augustus 2018 09:26

Erg leuk, ik hoorde het al eerder van een collega die vaker meedoet met bugbounty programma's. Ik vroeg me al af wanneer ik het op de frontpage zou lezen.
Sites als integriti.com vind ik overigens nogal vervelend. Niet alleen wil iedere site zo'n onnozele chat toevoegen, maar sturen ze allemaal alvast een berichtje. Integriti maakt het leuker door een 'ping' geluid af te spelen. Site gaat bijdeze gelijk op de blocklist. 'Heey heey heey, heb je dit al gezien??!!', hou toch op man. Het is maandag.