Komoly pénzeket fizet a GitHub a hibavadászoknak

A GitHub az évek során több mint egymillió dollárt fizetett azon hibavadászoknak, akik biztonsági réseket tártak fel a különféle rendszereiben.
 

A GitHub is abba a csoportba tartozik, amelynek képviselői előszeretettel vesznek igénybe külső segítséget a rendszereik biztonságának fokozása érdekében. Azok a cégek, amelyek már indítottak hibavadászatot, többnyire pozitívan nyilatkoznak e kezdeményezésekről, és azt is gyakorta látjuk, hogy ezeket a programokat újabb és újabb szoftverekre, szolgáltatásokra terjesztik ki.
 
A hibavadászatról a GitHub képviselői is hasonlóan pozitív véleményeket fogalmaztak meg. A GitHub 2014 februárja óta fogadja a külső kutatót hibabejelentéseit. 2016 óta pedig a HackerOne platformon keresztül kapja az értesítéseket a különféle biztonsági résekről, amelyekért természetesen jutalmat is ad. Összességében nem is keveset, hiszen 2014 óta több mint egymillió dollárt fizetett ki a hibavadászoknak. Tavaly 590 ezer dollárt osztott ki.
 
A GitHub statisztikája azt mutatja, hogy a sérülékenységekkel kapcsolatos bejelentések száma évről évre emelkedik. Ennek ellenére örömteli hír, hogy átlagosan 17 óra alatt válaszol az etikus hackerek észrevételeire, és a lehető leghamarabb megkezdi a biztonsági rések befoltozását.
 
Az üzemeltetők 2019 kapcsán két sebezhetőséget emeltek ki. Az egyik egy OAuth-tal összefüggő, súlyos biztonsági rendellenesség volt, ami jogosulatlan hozzáférésekhez járulhatott volna hozzá, ha rossz kezekbe kerül. Ezt a sérülékenységet a fejlesztők a bejelentéstől számított három órán belül megszüntették, és egyben a felfedezőt 25 ezer dolláros jutalomban részesítették. Egy másik, szintén tavaly feltárt sebezhetőség pedig jogosulatlan távoli kódfuttatásra, valamint parancsbefecskendezésre adott lehetőséget.
 
Bővülő céltábla
 
A bejelentett sérülékenységek száma nem kizárólag azért növekszik, mert az etikus hackerek mind több erőforrást áldoznak a GitHub-féle hibavadászatra, hanem azért is, mert a GitHub egyre több megoldását teszi vizsgálhatóvá. Vagyis folyamatosan vonja be a biztonsági programjába az új szolgáltatásait. Egyes esetekben még azon rendszereit is tesztelteti, amelyek a nagy nyilvánosság számára még nem elérhetők. Igaz ekkor csak egy privát hibavadász programon keresztül lehet hackerkedni, amely meghívásos alapon működik.
Vélemények
 
  1. 3

    Az SQLite kapcsán két sebezhetőségre derült fény.

  2. 4

    Az Autodesk Maya egy súlyos sérülékenységet tartalmaz.

  3. 3

    A Maze.A zsarolóprogram fájlok titkosítása mellett adatokat is kiszivárogtat a fertőzött számítógépekről.

 
Partnerhírek
Módosított pályázati kiírás - az „Év információvédelmi szak- és diplomadolgozata - 2020” cím elnyerésére

A Hétpecsét Információbiztonsági Egyesület 2020 évre is meghirdeti az „Év információvédelmi szak- és diplomadolgozata - 2020” címet.

667%-kal nőtt a koronavírushoz kapcsolódó támadások száma – az ESET meghosszabbítja ingyenes akcióját

A koronavírus terjedése miatt egyre nagyobb mértékben támaszkodunk digitális megoldásokra a mindennapi életünk során.

hirdetés
Közösség
1