Komoly pénzeket fizet a GitHub a hibavadászoknak

A GitHub az évek során több mint egymillió dollárt fizetett azon hibavadászoknak, akik biztonsági réseket tártak fel a különféle rendszereiben.
 

A GitHub is abba a csoportba tartozik, amelynek képviselői előszeretettel vesznek igénybe külső segítséget a rendszereik biztonságának fokozása érdekében. Azok a cégek, amelyek már indítottak hibavadászatot, többnyire pozitívan nyilatkoznak e kezdeményezésekről, és azt is gyakorta látjuk, hogy ezeket a programokat újabb és újabb szoftverekre, szolgáltatásokra terjesztik ki.
 
A hibavadászatról a GitHub képviselői is hasonlóan pozitív véleményeket fogalmaztak meg. A GitHub 2014 februárja óta fogadja a külső kutatót hibabejelentéseit. 2016 óta pedig a HackerOne platformon keresztül kapja az értesítéseket a különféle biztonsági résekről, amelyekért természetesen jutalmat is ad. Összességében nem is keveset, hiszen 2014 óta több mint egymillió dollárt fizetett ki a hibavadászoknak. Tavaly 590 ezer dollárt osztott ki.
 
A GitHub statisztikája azt mutatja, hogy a sérülékenységekkel kapcsolatos bejelentések száma évről évre emelkedik. Ennek ellenére örömteli hír, hogy átlagosan 17 óra alatt válaszol az etikus hackerek észrevételeire, és a lehető leghamarabb megkezdi a biztonsági rések befoltozását.
 
Az üzemeltetők 2019 kapcsán két sebezhetőséget emeltek ki. Az egyik egy OAuth-tal összefüggő, súlyos biztonsági rendellenesség volt, ami jogosulatlan hozzáférésekhez járulhatott volna hozzá, ha rossz kezekbe kerül. Ezt a sérülékenységet a fejlesztők a bejelentéstől számított három órán belül megszüntették, és egyben a felfedezőt 25 ezer dolláros jutalomban részesítették. Egy másik, szintén tavaly feltárt sebezhetőség pedig jogosulatlan távoli kódfuttatásra, valamint parancsbefecskendezésre adott lehetőséget.
 
Bővülő céltábla
 
A bejelentett sérülékenységek száma nem kizárólag azért növekszik, mert az etikus hackerek mind több erőforrást áldoznak a GitHub-féle hibavadászatra, hanem azért is, mert a GitHub egyre több megoldását teszi vizsgálhatóvá. Vagyis folyamatosan vonja be a biztonsági programjába az új szolgáltatásait. Egyes esetekben még azon rendszereit is tesztelteti, amelyek a nagy nyilvánosság számára még nem elérhetők. Igaz ekkor csak egy privát hibavadász programon keresztül lehet hackerkedni, amely meghívásos alapon működik.
Vélemények
 
  1. 4

    A Foxit Reader és a PhantomPDF szoftverek fontos biztonsági hibajavításokkal gyarapodtak.

  2. 4

    A Google ismét jelentős mennyiségű biztonsági frissítéssel rukkolt elő az Android operációs rendszer kapcsán.

  3. 1

    A Devilshadow trójai sok funkcióval képes támogatni a kiberbűnözők által végrehajtott károkozásokat.

 
Partnerhírek
Az ESET kutatói feltérképezték a katonai és diplomáciai célpontokat támadó InvisiMole csoport működését

Az InvisiMole új kampányát vizsgálva az ESET kutatóinak sikerült feltárniuk a csoport frissített eszközkészletét, valamint a Gamaredon hackercsoporttal való szoros együttműködésük részleteit is.

​LinkedIn-en keresztül támadó hackereket lepleztek le az ESET kutatói

Álláshirdetésnek álcázott adathalász támadásokat lepleztek le az ESET kutatói, melyek vélhetően az észak- koreai illetőségű Lazarus csoporthoz köthetők.

hirdetés
Közösség