A Twitter is fizet a biztonsági hibákért

Ezentúl a Twitter is jutalmazni fogja azokat, akik első kézből jeleznek számára biztonsági hibákat.
 

A Twitter is beállt abba a sorba, amiben egyre több olyan vállalattal lehet találkozni, melyek hajlandóak fizetni a külső biztonsági kutatók munkájáért. A Mozilla, a Google, a Facebook, a Microsoft stb. cégek után a Twitter is jelezte, hogy elindította a jutalmazási rendszerét. Ugyan eddig is lehetett sebezhetőségeket bejelenteni a cégnek, amely aztán erkölcsi elismerésben részesítette a kutatókat, de mostantól mindez pénzjutalommal is párosul. Igaz egyelőre nem tudni, hogy milyen nagyvonalú lesz a vállalat. Egyelőre ugyanis csak annyit közölt, hogy a minimum díjat 140 dollárban állapította meg, míg a kiosztható jutalom összegét nem maximalizálta. Mindez azt jelenti, hogy a cég egyedileg fogja eldönteni, hogy mennyit fizet egy-egy bejelentett hibáért. Nyilván minél súlyosabb, minél több kockázatot rejtő sérülékenységre derül fény, annál több pénzt zsebelhet be a hiba felfedezője. (A többi vállalatnál nem ritkák a több ezer dolláros jutalmak sem.)

A Twitter szabályzata szerint a jutalmazási programban a *.twitter.com, a Twitter for iOS és a Twitter for Android vesz részt. Természetesen más szoftverek vagy más domaineken futó webalkalmazások kapcsán is lehet jelezni hibákat, de azokért egyelőre nem jár fizetség. 

A pénzdíjak kiosztásának és a szabályszerű sebezhetőségkutatásnak ez esetben is megvannak a jól meghatározott feltételei. Csak az a kutató részesülhet anyagi elismerésben, aki teljesen új sérülékenységről tesz bejelentést. Nélkülözhetetlen, hogy a hiba besorolható legyen a Twitter által felállított sérülékenységi kategóriák valamelyikébe. Így például lehet jelezni XSS, (cross-site scripting), CSRF (cross-site request forgery), távoli kódfuttatásra használható vagy jogosulatlan hozzáférést lehetővé tevő hibákat is. Ugyanakkor a fizikai támadások, a Twitter alkalmazottak social engineering módszerekkel történő megkörnyékezése, a szolgáltatásmegtagadási támadások, valamint azok a tevékenységek, amik a felhasználókat hátrányosan érinthetik, nem megengedettek. A Twitter azt javasolja, hogy minden érdeklődő teszt profilokkal próbálkozzon, és semmi esetre se okozzon kárt más felhasználók számára. Vagyis az etikus hackerkedés szabályait mindenképpen be kell tartani. Ellenkező esetben jutalom helyett jogi eljárásokra lehet számítani.