A Google, a Facebook vagy a Microsoft stb. után a Dropbox folyatja a sort: pénzdíjat ajánl fel az első kézből jelzett sebezhetőségekért – írta a Biztonságportál. Bár nem valami bőkezű a szolgáltató: a feltételeknek megfelelő sebezhetőségek után minimum 216 dollárt fizet, miközben az ilyen programot működtető cégek akár több ezer dollárt is fizetnek egy-egy komolyabb biztonsági rés feltárásáért. A Chrome legutóbbi frissítésében javított hibák feltárásáért például összesen több mint 20 ezer dollárt fizetett ki a Google, és vol olyan hiba, ami egymaga 7500 dollárt ért.

Egyelőre csak a néhány szolgáltatást érint

A Dropbox persze cseles: nem határozott meg felső korlátot a jutalmazásban. Ráadásul a szolgáltató visszamenőleg is elismeri a biztonsági szakemberek munkáját: eddig több mint 15 ezer dollárt osztott ki a korábbi hibajelentők között. A legmagasabb összeg 4913 dollár volt egy biztonsági résért.

A Dropbox jutalmazási programjába egyelőre csak a legnépszerűbb alkalmazások és szolgáltatások kerültek be: például a webes, mobil, windowsos klienseik és a Core SDK. A vállalat persze egyéb technológiáihoz is várja a feltárt hibákat, de azokért egyelőre nem fizet.

Mint mindig, most is hangsúlyozni kell: csak az etikus hackelés keretei között feltárt hibákért érdemes jutalmat várni. Nem lehet például olyan támadásokat végrehajtani, amelyek más felhasználók adatait veszélyeztetik, vagy befolyásolják a Dropbox szolgáltatásainak teljesítményét és rendelkezésre állását. Nem jár jutalom a CSRF és bizonyos XSS sérülékenységekért, a tárhelykorlátozás megkerülésére módot adó technikákért, az SSLT/TLS-t érintő problémákért és a gyenge hitelesítő adatokkal visszaélő támadási módszerekért sem.

Javulhat a Dropbox biztonságáról kialakult kép

Az némiképp meglepő, hogy a Dropbox csak most vezette be a javadalmazási rendszert. A hét éve piacon lévő cégnek ugyanis voltak nehézségei abban, hogy elhitesse a felhasználókkal: biztonságos. Nem sokkal a szolgáltatás elindítása után például kiderült, hogy a hitelesítési információk egy részét sima szövegfájlban tárolták, titkosítás nélkül. Ezt persze gyorsan javították.

Három évvel az indulásuk után nagy vihart kavart az az hiba, melynek következtében néhány óráig az összes Dropbox fiókba be lehetett lépni jelszó nélkül. Egy évvel később egy alkalmazottjuk fiókját törték fel hackerek, és az így szerzett hozzáférés segítségével spamekkel árasztották el a Dropbox felhasználóit. Emellett azzal is megvádolták a szolgáltatót, hogy adatokat szolgáltat az NSA-nak.

Az új program bevezetése már akkor megérte, ha csak annyi lesz az eredménye, hogy javítja a szolgáltatás biztonságának megítélését a felhasználók körében.