Keymetrics

Företag anlitar hackare för att hitta buggar i datasystem

Företag behöver all hjälp de kan få för att ligga steget före nästa stora säkerhetsproblem, ibland innebär det att man måste förlita sig på dem som ligger bakom problemen för att åtgärda dem.

Tips och råd från oberoende hackare och säkerhet forskare sker vanligtvis i utbyte mot en kontant ersättning. Hackaren söker igenom platsen beskriver företagets sårbarhet som de åtgärdar och hackaren får lite pengar för sina insatser.

Bug bounty program” har funnits under lång tid. Men under de senaste åren, har de blivit mycket vanligare.

Facebook har betalat ut miljontals dollar till bugg jägare under årens lopp. Tidigare i år upptäckte Anand Prakash, en säkerhetsingenjör från Indien, en stor bugg som skulle ha tillåtit honom att potentiellt komma åt alla konton på Facebook. Han fann att det var möjligt att göra ett oändligt antal PIN-försök på att återställa ett konto om du använder beta.facebook.com, utvecklanas plats för nya funktioner som ännu inte lanserats till massorna.

”In-house tester går inte att inte jämföra med hjälp utifrån, som bug bounties i fråga om effektivitet.”

”Jag kunde visa meddelanden, kredit/betalkort som lagrats under betal sektionen, personliga bilder och mycket mer”, kommenterade Anand. Upptäckten (som snabbt åtgärdades) belönades med 15 tusen dollar, eller drygt 120 tusen svenska kronor, det finns dock inga belägg för att buggen någonsin användes för skadliga attacker.

Felet var ganska enkelt men hade allvarliga konsekvenser och på något sätt gick det helt oupptäckt av Facebooks egna team. När allt kommer omkring är säkerhetsproffsen fortfarande bara människor, andras insikter kan göra en enorm skillnad. Därför växer just nu i bugg bounty program hos stora aktörer som exempelvis Facebook, samt andra plattformar som kopplar ihop hackare med företag, här finns nätverk som som HackerOne och Bugcrowd.

Casey Ellis, vd för Bugcrowd säger öppna upp en bugg bounty på en webbplats som Bugcrowd skapar en mellanhand för företaget och utvecklingsavdelningen som kan ”tala både med hackare och företag.”

”I grund och botten vad man gör är att koppla ihop dessa två grupper, som inte riktigt har en bra historia av att förstå varandra eller att komma överens, för att utveckla webben”

”Enkelt uttryckt, in-house tester går inte jämföra med hjälp att hitta buggar som görs av externa personer, som bug bounties när det kommer i fråga om effektivitet”, har Alex Holetec, VD för Hackable.io, en plattform som kör program för IoT företag kommenterat utvecklingen.

På Dagensanalys.se skriver vi för alla som jobbar med digitala medier och digital marknadsföring. Vi plockar upp trender, skriver om nyheter och delar våra tips och idéer. Häng med genom att läsa Dagensanalys.se!

RELATERADE NYHEER
Bounce Rate
12 tips för lägre Bounce Rate och högre försäljning