역사상 처음으로 버그 현상금 및 취약점 공개 플랫폼 HackerOne이 회사를 플랫폼에서 퇴출시켰습니다.
블록체인 기반 투표 플랫폼 Voatz는 블록체인 기반 모바일 투표 앱의 보안에 대한 질문에 HackerOne을 통해 버그 바운티 프로그램을 오랫동안 선전해 왔습니다.
2012년에 설립된 HackerOne은 기업과 펜 테스터 및 사이버 보안 연구원을 연결합니다. 1,800개 이상의 고객 프로그램을 호스팅했지만 곤경에 처한 매사추세츠에 본사를 둔 이 회사의 버그 현상금은 더 이상 그 중 하나가 아닙니다.
HackerOne 대변인 Samantha Spielman은 Cointelegraph에 "플랫폼으로서 우리는 보안 팀과 연구원 커뮤니티 간의 상호 유익한 관계를 육성하기 위해 끊임없이 노력하고 있습니다."라고 말했습니다. 테스트를 위해 연구원에게. Voatz 프로그램은 이러한 요구 사항 중 하나를 준수하지 않았기 때문에 2020년 XNUMX월에 파트너십을 종료했습니다.”
Voatz 대변인은 성명에서 HackerOne이 플랫폼에서 퇴출시키기로 한 결정이 "Voatz가 FBI에 연구원을 보고했다고 믿는" "소규모 연구원들의 압력" 때문이라고 말했습니다. 실제로 Voatz는 해당 학생을 관할 구역에 신고한 후 FBI에 신고했습니다.
Voatz 직면 한 비판 학생 보안 연구원이 회사의 버그 바운티 프로그램의 세이프 하버 선언문에 의해 보호된 것으로 보이지만 회사가 말한 침입 시도에 대해 FBI에 회부된 후. FBI의 추천이 헤드라인을 장식한 후 Voatz는 세이프 하버 정책의 범위를 좁히기 위해 HackerOne 버그 바운티 프로그램 조건을 소급 업데이트하여 완전한 법적 보호를 제공했는지 여부도 불분명하게 만들었습니다.
“보안 팀, 해커 및 플랫폼 간의 버그 포상금 모델 전반에 걸쳐 신뢰가 가장 중요합니다. 신뢰는 한 번 깨지면 회복하기 어렵습니다. Voatz는 버그 바운티 프로그램을 통해 취약점을 발견하고 해결할 수 있었지만 프로그램은 더 이상 어느 쪽에도 생산적이지 않았습니다.”라고 Spielman이 말했습니다.
독립적인 보안 연구원이자 열렬한 버그 현상금 사냥꾼인 Jack Cable은 Voatz가 자신이 제출한 두 개의 버그 현상금 보고서를 확인하는 것조차 느렸다고 말했습니다. 한 사례에서 그는 Voatz가 자신의 앱에 스택 오버플로의 개인 키를 저장하는 취약점을 발견했는데 Voatz는 선거 과정에서 아무런 역할도 하지 않았다고 말했습니다. 그러나 Trail of Bits의 보안 감사에서는 특정 기능에서 사용 중임을 시사했으며 보안 수준이 높은 버그로 나열되었습니다.
“어떤 것의 심각성을 얕잡아 보거나 그것이 취약점인지에 대해 너무 명확하지 않은 경우가 많이 있습니다. 전반적으로 매우 생산적인 경험은 아니었습니다.”라고 Cable은 말했습니다.
케이블은 또한 앱을 테스트할 때 자신의 IP 주소가 차단된 것을 발견했지만 이것이 자동화되었는지 여부는 불분명하다고 말했습니다. "테스트할 때 몇 번이고 내 IP 주소가 차단되어 더 이상 스테이징 환경에서도 사용할 수 없었습니다."라고 그는 말했습니다.
MIT 연구원들은 확인 Voatz의 심각한 보안 결함은 버그 바운티 프로그램의 범위를 벗어났을 많은 취약점을 발견했습니다. 대신 CISA를 통과했습니다. "우리는 연구가 스스로를 대변하기를 원했으며, 에 문서화된 바와 같이 이전의 독립적인 보안 연구에 대한 Voatz의 비전문적인 대응에 대한 법적 우려가 있었습니다. 여러 news 아울렛"라고 연구자들은 자주 묻는 질문에 작성.
Cable은 Voatz의 “보안 연구 전반에 대한 일반적인 적대감”을 지적했습니다. Voatz는 MIT 보고서에 설명된 보안 취약성을 자신이 고용한 감사 회사인 Trail of Bits에서 확인한 후에도 거부했습니다. “한편으로 그들은 '당신이 발견한 취약점에 대해 알려주세요'라고 말하고 있습니다. 그러나 사람들이 실제로 취약점을 발견하면 존재조차 부정합니다.”라고 그는 말했습니다.
“그들은 분명히 보안 연구를 수용하지 않습니다. HackerOne은 고객뿐만 아니라 회사가 해당 선을 넘기 시작하는 즉시 플랫폼의 해커를 보호할 책임이 있습니다. HackerOne이 조치를 취해야 했기 때문에 이 경우에 조치를 취하게 되어 기쁩니다.”
Voatz는 앞으로 포괄적인 버그 바운티 프로그램을 발표할 계획이라고 말했습니다.
출처: https://cointelegraph.com/news/voatz-bug-bounty-kicked-off-of-hackerone-platform
