Artikel top billede

It-gigant vil betale dig for at finde sikkerhedshuller

PayPal står klar med knitrende dollar, som du kan få, hvis du opdager sikkerhedshuller, der rapporteres på en forsvarlig måde.

Computerworld News Service: Betalingsservicen PayPal er begyndt at belønne sikkerhedsanalytikere, som finder sårbarheder på PayPals websites, hvis de rapporterer deres opdagelser på en forsvarlig måde.

"Det er med glæde, at jeg kan oplyse, at vi har opdateret vores oprindelige proces til rapportering af fejl til et program med udbetaling af dusør for fejl," skriver PayPals it-sikkerhedschef, Michael Barrett, i et blogindlæg torsdag.

Cross-site scripting (XSS), cross-site request forgery (CSRF), SQL-injektion (SQLi) og sårbarheder til omgåelse af autentifikation vil alle udløse dusør.

Størrelsen af dusøren vil dog blive fastsat af PayPals sikkerhedsteam ud fra en vurdering af hvert enkelt tilfælde.

Skal have godkendt konto

Man er desuden nødt til at have en godkendt PayPal-konto for at få udbetalt sådanne dusører.

PayPal følger hermed i fodsporene af virksomheder som Google, Mozilla og Facebook, der alle i løbet af de sidste par år har implementeret dusørprogrammer for fejl fundet i deres online-services.

"En lille håndfuld andre selskaber udbetaler i forvejen dusører for fejl, men vi mener, at vi er det første selskab i finanssektoren, der gør det," siger Barrett.

Andre har haft succes med modellen

Googles, Mozillas og Facebooks dusørprogrammer har ifølge Barrett indtil videre haft positive resultater.

"Jeg havde i første omgang nogle forbehold overfor ideen med at betale eksperter for rapportering af fejl, men jeg kan med glæde erkende, at dataene har vist, at jeg tog fejl - det er helt tydeligt en effektiv måde at øge sikkerhedsanalytikernes opmærksomhed på internetbaserede services, så de derfor finder flere potentielle problemer."

Det nye dusørprogram vil hjælpe PayPal til at reducere antallet af sårbarheder i sine websites, men fejl vil der altid være, påpeger Marius Gabriel Avram, der er sikkerhedsudvikler hos sikkerhedsfirmaet RandomStorm.

I sin fritid leder Avram efter sårbarheder i webservices fra Google, Facebook, Twitter, Microsoft, eBay, PayPal og andre selskaber, der gør den slags muligt for sikkerhedsanalytikere på den betingelse, at de rapporterer deres opdagelser privat og ikke forårsager nogen skade.

Det fungerer som en udfordring, der hjælper sikkerhedsanalytikere til at forbedre deres kompetencer og giver i visse tilfælde en ekstra indtægt, oplyser Avram.

Dusør-programmer

Avram har fundet og rapporteret over 10 sikkerhedsfejl i PayPals primære og mobile websites alene i løbet af de sidste to uger.

Nogle af dem var meget alvorlige, fortæller han og tilføjer, at PayPals medarbejdere har reageret hver gang.

Det er ikke alle selskaber, der har råd til at udbetale dusører for rapportering af fejl.

Men der findes en lang række store virksomheder såsom eBay, Amazon, Sony og andre, der ifølge Avram kan og bør implementere sådanne programmer, især i lyset af at flere af dem tidligere har oplevet brud på datasikkerheden.

De slemme hackere

Visse hackere - de såkaldte black hats - misbruger de sårbarheder, de finder, til ulovlige formål.

Andre offentliggør dem på deres personlige blogs eller på andre offentligt tilgængelige websites for at blive et kendt navn i branchen.

Avram vurderer, at det er denne anden kategori af hackere, som programmer til udbetaling af dusører for rapportering af sårbarheder kan tiltrække.

Ligesom Google og Facebook har PayPal ifølge Avram indset, at det ikke rigtigt fungerer at bede sådanne folk om at rapportere de sikkerhedshuller, de finder, uden at der samtidig skabes et incitament.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Fiftytwo A/S
Konsulentydelser og branchespecifikke softwareløsninger til retail, e-Commerce, leasing og mediebranchen.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere