Posté le avril 6, 2019 à 8:28
DROPBOX DÉBOURSE $300,000 POUR 264 VULNÉRABILITÉS.
Dropbox a participé à une chasse aux bugs organisée par HackerOne avec des participants venant de dix pays du monde entier qui ont découvert plus de 264 vulnérabilités sur sa plate-forme.
HackerOne a organisé une chasse aux bugs d’une journée à Singapour afin d’exposer les vulnérabilités de Dropbox. Le fameux fournisseur de service dans les nuages a reçu une liste de 264 vulnérabilités identifiées par les hackers. Certaines bugs ont été trouvés le jour même et d’autres auparavant.
L’entreprise de sécurité a accueilli 45 membres venant des quatre coins du monde lors de cet événement en direct. Les participants provenaient de divers pays, dont le Japon, Hong Kong, la Suède et l’Inde. Le plus jeune des 45 membres de l’équipage avait 19 ans.
Dropbox est satisfait des résultats.
Dropbox avait déjà fourni à HackerOne l’étendue de l’attaque afin que l’équipe de sécurité puisse préparer ses membres. Les membres de l’équipe ont rapidement identifié des dizaines de bugs quelques jours avant l’invitation prévue.
L’une des principales raisons pour lesquelles Dropbox a décidé de faire appel au groupe de sécurité était sa récente acquisition de HelloSign. HelloSign est un programme numérique de gestion de flux de travail. Dropbox est une entreprise qui offre depuis longtemps un programme de Bug Bounty. Son programme a mûri au fur et à mesure que l’entreprise s’est développée depuis ses humbles débuts en tant que startup. Un porte-parole de la société a ajouté que le processus d’examen des bugs signalé par Dropbox par de telles initiatives est très bien défini.
La société considère que l’offre bug bounty est un aspect clé d’Infosec au sein de toutes les entreprises et encourage les autres à suivre leur exemple. L’initiative avec HackerOne est simplement une extension de leur propre programme, destiné à aider la société à trouver plus de bugs plus rapidement. Les diverses compétences offertes par une initiative telle que HackerOne ne peuvent que contribuer à renforcer la sécurité des produits de leur entreprise. L’événement de piratage en direct visait également à mieux faire connaître les avantages du piratage contrôlé.
HackerOne ne cesse de progresser.
HackerOne a organisé plus de 1300 événements de ce type depuis sa création en 2012. Des primes totalisant 49 millions de dollars ont été versées à ses membres. La société est fière de compter sur une communauté de plus de 390 000 hackers enregistrés. Il travaillait auparavant avec le ministère de la défense singapourien pour rendre leurs systèmes plus sûrs.
Le PDG Marten Mickos espère atteindre 100 millions de dollars en primes d’ici la fin de 2020. Il espère également avoir une communauté dépassant millions de hackers d’ici là également. Cela aurait permis à l’entreprise d’aider ses clients à exposer et à réparer plus de 200 000 failles. Sur ces 200 000, Mickos estime que 16 000 auraient été des bugs critiques.
Mickos n’a pas tardé à souligner que HackerOne n’était pas un cabinet de conseil en sécurité. C’est une plate-forme qui permet aux hacker éthiques de gagner de l’argent et d’aider l’ensemble de l’écosystème technologique. Son entreprise a de la place aux côtés de sociétés de conseil en sécurité et d’équipes de sécurité internes. Les consultants en sécurité, dit-il, seraient embauchés pour se concentrer sur un aspect spécifique de la sécurité ou pour casser une certaine partie de la plate-forme d’une entreprise de technologie. Le rôle des membres de HackerOne, en revanche, se voit attribuer un large éventail de problèmes qui pourraient ne pas être résolus par un service spécialisé. Il cite en exemple le nombre de vulnérabilités trouvées sur Dropbox.
Mickos a ensuite expliqué que ce sont les entreprises qui décident elles-mêmes de la prime, et que HackerOne reçoit une commission. Le record pour un événement d’une journée tel que celui de Dropbox est de 400 000 $. Il ajoute que les événements se déroulant sur plusieurs jours peuvent facilement permettre de récolter des primes dépassant 500 000 $.
