Artikel top billede

It-gigant vil betale dig for at finde sikkerhedshuller

PayPal står klar med knitrende dollar, som du kan få, hvis du opdager sikkerhedshuller, der rapporteres på en forsvarlig måde.

Computerworld News Service: Betalingsservicen PayPal er begyndt at belønne sikkerhedsanalytikere, som finder sårbarheder på PayPals websites, hvis de rapporterer deres opdagelser på en forsvarlig måde.

"Det er med glæde, at jeg kan oplyse, at vi har opdateret vores oprindelige proces til rapportering af fejl til et program med udbetaling af dusør for fejl," skriver PayPals it-sikkerhedschef, Michael Barrett, i et blogindlæg torsdag.

Cross-site scripting (XSS), cross-site request forgery (CSRF), SQL-injektion (SQLi) og sårbarheder til omgåelse af autentifikation vil alle udløse dusør.

Størrelsen af dusøren vil dog blive fastsat af PayPals sikkerhedsteam ud fra en vurdering af hvert enkelt tilfælde.

Skal have godkendt konto

Man er desuden nødt til at have en godkendt PayPal-konto for at få udbetalt sådanne dusører.

PayPal følger hermed i fodsporene af virksomheder som Google, Mozilla og Facebook, der alle i løbet af de sidste par år har implementeret dusørprogrammer for fejl fundet i deres online-services.

"En lille håndfuld andre selskaber udbetaler i forvejen dusører for fejl, men vi mener, at vi er det første selskab i finanssektoren, der gør det," siger Barrett.

Andre har haft succes med modellen

Googles, Mozillas og Facebooks dusørprogrammer har ifølge Barrett indtil videre haft positive resultater.

"Jeg havde i første omgang nogle forbehold overfor ideen med at betale eksperter for rapportering af fejl, men jeg kan med glæde erkende, at dataene har vist, at jeg tog fejl - det er helt tydeligt en effektiv måde at øge sikkerhedsanalytikernes opmærksomhed på internetbaserede services, så de derfor finder flere potentielle problemer."

Det nye dusørprogram vil hjælpe PayPal til at reducere antallet af sårbarheder i sine websites, men fejl vil der altid være, påpeger Marius Gabriel Avram, der er sikkerhedsudvikler hos sikkerhedsfirmaet RandomStorm.

I sin fritid leder Avram efter sårbarheder i webservices fra Google, Facebook, Twitter, Microsoft, eBay, PayPal og andre selskaber, der gør den slags muligt for sikkerhedsanalytikere på den betingelse, at de rapporterer deres opdagelser privat og ikke forårsager nogen skade.

Det fungerer som en udfordring, der hjælper sikkerhedsanalytikere til at forbedre deres kompetencer og giver i visse tilfælde en ekstra indtægt, oplyser Avram.

Dusør-programmer

Avram har fundet og rapporteret over 10 sikkerhedsfejl i PayPals primære og mobile websites alene i løbet af de sidste to uger.

Nogle af dem var meget alvorlige, fortæller han og tilføjer, at PayPals medarbejdere har reageret hver gang.

Det er ikke alle selskaber, der har råd til at udbetale dusører for rapportering af fejl.

Men der findes en lang række store virksomheder såsom eBay, Amazon, Sony og andre, der ifølge Avram kan og bør implementere sådanne programmer, især i lyset af at flere af dem tidligere har oplevet brud på datasikkerheden.

De slemme hackere

Visse hackere - de såkaldte black hats - misbruger de sårbarheder, de finder, til ulovlige formål.

Andre offentliggør dem på deres personlige blogs eller på andre offentligt tilgængelige websites for at blive et kendt navn i branchen.

Avram vurderer, at det er denne anden kategori af hackere, som programmer til udbetaling af dusører for rapportering af sårbarheder kan tiltrække.

Ligesom Google og Facebook har PayPal ifølge Avram indset, at det ikke rigtigt fungerer at bede sådanne folk om at rapportere de sikkerhedshuller, de finder, uden at der samtidig skabes et incitament.

Oversat af Thomas Bøndergaard




IT-JOB

Netcompany A/S

Managing Architect

Cognizant Technology Solutions Denmark ApS

Sr. Test Analyst

Cognizant Technology Solutions Denmark ApS

Data Architect
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Fiftytwo A/S
Konsulentydelser og branchespecifikke softwareløsninger til retail, e-Commerce, leasing og mediebranchen.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

06. november 2024 | Læs mere


Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

12. november 2024 | Læs mere


Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

13. november 2024 | Læs mere