XDA智能手机网 - 第一智能手机评述媒体
科技您的位置:首页 >科技 >

Dropbox揭露了HackerOne Singapore陷阱中的264个漏洞

发布时间:2019-04-07 16:53:36 来源:

在新加坡进行为期一天的捕虫活动后,Dropbox已经发现了264个漏洞,支付了319,300美元的奖金,这些漏洞将来自全球10个国家的黑客聚集在一起。由臭虫赏金平台HackerOne主持,现场活动有来自日本,印度,澳大利亚,香港和瑞典等国家的45名成员,还有一些年仅19岁的成员,在这个城邦中试图渗透Dropbox的目标系统。

云存储供应商几天前已经披露了部分“攻击”范围,因此HackerOne成员已经在现场活动之前识别并提交了数十个潜在的错误。根据公司发言人的说法,这次关注的重点是Dropbox及其最近收购的数字工作流平台HelloSign。

Dropbox发言人注意到该公司已经有一个成熟的漏洞赏金计划,它表示已经建立了一个“定义明确的流程”,用于审查这些计划报告的漏洞,并确定其严重性和必要的补救措施。

“就像我们所有的臭虫赏金努力一样,我们希望利用参与者独特的观点和努力来帮助我们继续保证我们的产品安全,”他告诉ZDNet。“虽然我们已经拥有业内最宽松的范围之一,但我们已经进一步扩展了[新加坡]的实况黑客活动.Dropbox强烈鼓励所有公司投资于臭虫赏金计划并考虑一个良好的运行bug赏金计划是技术安全成熟的标志。“

HackerOne自2012年成立以来已经组建了1,300多个这样的程序,为其黑客支付了超过4900万美元。目前,其网络上有超过390,000名注册黑客。在新加坡,它与国防部, GovTech和Grab等客户合作。

HackerOne首席执行官Marten Mickos表达了希望在2020年底之前获得1亿美元的奖金,当时他的目标是在其平台上建立一个拥有100万道德黑客的社区。到那时,它预计将帮助其客户识别和修复超过200,000个漏洞,包括16,000个严重严重漏洞。

该公司七个月前成立了新加坡办事处,该办事处还作为其亚太区总部,并为中国,澳大利亚和泰国等地的客户提供支持。

当被问及其服务与安全咨询公司的不同之处时,Mickos表示,如果企业遇到他们想要测试的特定问题,那么第三方咨询公司仍然可以发挥作用。“我们社区的力量就是它的多样性。我们的黑客不带偏见,知道只有找到了东西才会得到报酬,所以他们会继续寻找,直到他们这样做,”他说。

HackerOne的社区和内容高级主管Luke Tucker表示,该公司与客户合作,确定将邀请多少黑客,并飞到该地点,参加现场活动。还鼓励客户让他们自己的安全团队加入寻找bug。

Tucker补充说,客户将确定它想要支付的赏金金额,而HackerOne将获得支付佣金。他说,到目前为止,单日活动中有史以来支付的最高金额为40万美元,并补充说,多日计划的奖金可能超过50万美元。

HackerOne客户还支付订阅服务,例如其分类小组,该小组负责审查和验证程序中发现的错误,他说。

为了选择参与计划的黑客,HackerOne将评估黑客在公司排行榜上的位置,以评估他们的一致性和个人资料,包括黑客的准确性和发现的错误的影响。Tucker补充说,HackerOne还运行了Capture The Flag游戏,专门用于识别黑客在特定领域(如移动应用程序)的技能。

在新加坡参与Dropbox狩猎活动的人中有Jack Cable,他是斯坦福大学目前正在攻读计算机科学的新生。

19岁时,Cable在过去三年中一直是HackerOne的成员,并参与了100多个bug赏金计划,包括Google,Facebook和美国国防部。迄今为止,他已经确定了250多个漏洞,其中包括30多个涉及美国空军的漏洞 。他所获得的奖金已用于资助他的大学教育,但他拒绝透露他到目前为止所获得的收入。

在Dropbox开始黑客活动开始之前,他已经确定了10个漏洞。

HackerOne的同行和26岁的安全工程师Kaung Htet Aung也参与了Dropbox的狩猎活动。

来自缅甸的Kaung参与了40多个项目,其中包括自两年前加入HackerOne以来在纽约的另一场现场活动。他目前的计数大约有100个漏洞,他在Dropbox活动黑客事件开始之前发现了五个漏洞。

Kaung在新加坡国立大学主修计算机工程,并通过玩HackerOne的Capture The Flag游戏来增强他的黑客技能。

看得够久,洞就会被揭开

当被问及哪些系统是最弱和最难渗透时,Cable表示这取决于组织系统的成熟度和安全性方面。无论如何,他指出,每个系统都会有漏洞。“如果你仔细观察它,你就会找到它们,”他说。“更重要的是公司如何应对他们发现的缺陷。”

Cable表示,企业应该认识到他们的系统可能存在缺陷并愿意找到并解决它们,并补充说,如果他们首先承认这一点,他们的系统只能是安全的。

Mickos表示同意,并指出每个系统都有漏洞,公司应该始终努力解决所有问题。他说:“首先要关注的不是你最容易受到伤害的地方,而是你拥有最大价值的地方,比如拥有客户数据或医疗数据的系统。” 例如,物联网(IoT)设备通常受到很好的保护,但通常不包含太多敏感数据,他指出。

Cable和Kaung都敦促公司始终从软件开发的开始和整个生命周期开始计划和审视安全性。

有线电视公司指出,当企业担心其他问题时,这将很难实现,但如果他们提前采取行动 - 他们正在开发软件时,他们需要意识到他们的安全状况可以更好地建立。

Kaung同意,并补充说组织应该在他们的软件开发时间表中进行安全测试和审查。“因此,当他们开发它时,它们同时使它变得安全,”他说,并指出这也将确保其他功能不会被释放。

根据塔克的说法,已经有四到五个案例,其中HackerOne成员在参与bug赏金计划的公司中获得了工作。

Dropbox告诉ZDNet,它“投入巨资”建立自己的安全团队,并教育员工了解安全最佳实践和当前的威胁形势。发言人表示,这可以使组织内的每个人更好地抵御鱼叉式网络钓鱼和社会工程师等攻击,但没有说明其安全团队有多大。

他还拒绝透露Dropbox每天检测和阻止的黑客攻击次数,但表示其全球用户数超过5亿,这意味着全球其他公司所面临的挑战也是如此。他还拒绝透露有多少黑客企图来自亚洲,或者有多少用户来自亚洲。

在其2018财政年度,Dropbox的收入为13.9亿美元 - 比上一年增长26% - 平均每个付费用户的收入为117.64美元。

热点推荐
随机文章