Komoly pénzeket fizet a GitHub a hibavadászoknak

Szerző: Biztonságportál | Utolsó módosítás: 2020.05.07.
A GitHub az évek során több mint egymillió dollárt fizetett azon hibavadászoknak, akik biztonsági réseket tártak fel a különféle rendszereiben.
 

A GitHub is abba a csoportba tartozik, amelynek képviselői előszeretettel vesznek igénybe külső segítséget a rendszereik biztonságának fokozása érdekében. Azok a cégek, amelyek már indítottak hibavadászatot, többnyire pozitívan nyilatkoznak e kezdeményezésekről, és azt is gyakorta látjuk, hogy ezeket a programokat újabb és újabb szoftverekre, szolgáltatásokra terjesztik ki.
 
A hibavadászatról a GitHub képviselői is hasonlóan pozitív véleményeket fogalmaztak meg. A GitHub 2014 februárja óta fogadja a külső kutatót hibabejelentéseit. 2016 óta pedig a HackerOne platformon keresztül kapja az értesítéseket a különféle biztonsági résekről, amelyekért természetesen jutalmat is ad. Összességében nem is keveset, hiszen 2014 óta több mint egymillió dollárt fizetett ki a hibavadászoknak. Tavaly 590 ezer dollárt osztott ki.
 
A GitHub statisztikája azt mutatja, hogy a sérülékenységekkel kapcsolatos bejelentések száma évről évre emelkedik. Ennek ellenére örömteli hír, hogy átlagosan 17 óra alatt válaszol az etikus hackerek észrevételeire, és a lehető leghamarabb megkezdi a biztonsági rések befoltozását.
 
Az üzemeltetők 2019 kapcsán két sebezhetőséget emeltek ki. Az egyik egy OAuth-tal összefüggő, súlyos biztonsági rendellenesség volt, ami jogosulatlan hozzáférésekhez járulhatott volna hozzá, ha rossz kezekbe kerül. Ezt a sérülékenységet a fejlesztők a bejelentéstől számított három órán belül megszüntették, és egyben a felfedezőt 25 ezer dolláros jutalomban részesítették. Egy másik, szintén tavaly feltárt sebezhetőség pedig jogosulatlan távoli kódfuttatásra, valamint parancsbefecskendezésre adott lehetőséget.
 
Bővülő céltábla
 
A bejelentett sérülékenységek száma nem kizárólag azért növekszik, mert az etikus hackerek mind több erőforrást áldoznak a GitHub-féle hibavadászatra, hanem azért is, mert a GitHub egyre több megoldását teszi vizsgálhatóvá. Vagyis folyamatosan vonja be a biztonsági programjába az új szolgáltatásait. Egyes esetekben még azon rendszereit is tesztelteti, amelyek a nagy nyilvánosság számára még nem elérhetők. Igaz ekkor csak egy privát hibavadász programon keresztül lehet hackerkedni, amely meghívásos alapon működik.
További hírek
Vélemények
 
Riasztások
  1. 4
    Foxit Reader/PhantomPDF frissítés

    A Foxit Reader és a PhantomPDF szoftverek fontos biztonsági hibajavításokkal gyarapodtak.

  2. 4
    Android biztonsági frissítések

    A Google ismét jelentős mennyiségű biztonsági frissítéssel rukkolt elő az Android operációs rendszer kapcsán.

  3. 1
    Devilshadow

    A Devilshadow trójai sok funkcióval képes támogatni a kiberbűnözők által végrehajtott károkozásokat.

 
Partnerhírek
Az ESET kutatói feltérképezték a katonai és diplomáciai célpontokat támadó InvisiMole csoport működését

Az InvisiMole új kampányát vizsgálva az ESET kutatóinak sikerült feltárniuk a csoport frissített eszközkészletét, valamint a Gamaredon hackercsoporttal való szoros együttműködésük részleteit is.

​LinkedIn-en keresztül támadó hackereket lepleztek le az ESET kutatói

Álláshirdetésnek álcázott adathalász támadásokat lepleztek le az ESET kutatói, melyek vélhetően az észak- koreai illetőségű Lazarus csoporthoz köthetők.

További partnerhírek >>
hirdetés
Kiemelt hírek
Közösség

OLDALUNK

RSS
Impresszum
Hirdetési információk
Adatvédelem
Felhasználási feltételek

ROVATOK

Adatbiztonság
Családbiztonsag
Mobilbiztonság
Sebezhetőségek
Vírusvédelem

SHOP

Információk, szállítás, fizetés
Terméktámogatási információk

PARTNEREK

Androgeek
Hírposta
Hírhányó
Hírstart
Copyright by Isidor - Minden jog fenntartva!