Nem, nem önkéntes hackereket keres, de a Twitter is követi a Mozillánál, a Google-nél, a Facebooknál, a Microsoftnál és egy sor más cégnél bevált gyakorlatot: fizet azoknak a külső biztonsági kutatóknak, akik biztonsági rést fedeznek fel a cég rendszerében – írta a Biztonságportál.
Az új elem a programban a pénz, ugyanis a bejelentés lehetősége eddig is adott volt, ám a sebezhetőség feltárójának meg kellett elégednie a dicsőséggel. Azt még nem lehet tudni, hogy mennyire lesz nagyvonalú a vállalat a díjazásban, csupán a minimum díjat hozták nyilvánosságra: a bejelentés szerint a minimális díj 140 dollár, ám a kiosztható jutalom összegét nem maximalizálták.
Ez arra utal, hogy Twitternél egyedileg fogják eldönteni, hogy mennyit ér egy-egy bejelentett hiba. Nyilván minél súlyosabb, minél több kockázatot rejtő sérülékenységre derül fény, annál több pénzt zsebelhet be a hiba felfedezője. (A rendszert alkalmazó vállalatoknál nem ritkák a több ezer dolláros jutalmak sem.)
Nem mindenre és nem mindenkire vonatkozik
A jutalmazási programba egyelőre csak a *.twitter.com-ot, a Twitter for iOS-t és a Twitter for Androidot vonták be. Ha valaki más szoftverek vagy más domaineken futó webalkalmazások hibáit jelenti be, azokért egyelőre nem kap jutalmat.
A cég egy sor szabályt is felállított a későbbi vitákat megelőzendő. Csak az a kutató részesülhet anyagi elismerésben, aki teljesen új sérülékenységet jelentett be. A hibának besorolható kell lennie a Twitter által felállított sérülékenységi kategóriák valamelyikébe: például XSS (cross-site scripting), CSRF (cross-site request forgery), távoli kódfuttatásra használható vagy jogosulatlan hozzáférést lehetővé tevő hibákat.
Mielőtt valaki a jutalom reményében intenzív hackerkedésbe fogna, jó ha tudja: a hibák felderítéséhez nem lehet használni fizikai támadásokat (például betörni egy Twitter-irodába), social engineering módszereket (Twitter-alkalmazottakból infókat kicsalni cseles módszerekkel), és persze szolgáltatásmegtagadási (DoS) támadásokat sem. A szabályzat emellett tilt minden olyan tevékenységet, ami a felhasználókat hátrányosan érintheti.
A Twitter tesztprofilok alkalmazását javasolja, amivel a próbálkozók még véletlenül nem okozhatnak kárt más felhasználóknak. Vagyis az etikus hackelés szabályait szigorúan be kell tartani. Ha valaki mégis tiltott eszközt használna, hiába fedez fel bármit is, a jutalom helyett jogi eljárásokra számíthat. A feltételekről csupán egy kattintásnyira olvashatnak részletesen.
A NIS2-megfelelőség néhány technológiai aspektusa
A legtöbb vállalatnál a megfeleléshez fejleszteni kell a védelmi rendszerek kulcselemeit is.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak