Artikel top billede

It-gigant vil betale dig for at finde sikkerhedshuller

PayPal står klar med knitrende dollar, som du kan få, hvis du opdager sikkerhedshuller, der rapporteres på en forsvarlig måde.

Computerworld News Service: Betalingsservicen PayPal er begyndt at belønne sikkerhedsanalytikere, som finder sårbarheder på PayPals websites, hvis de rapporterer deres opdagelser på en forsvarlig måde.

"Det er med glæde, at jeg kan oplyse, at vi har opdateret vores oprindelige proces til rapportering af fejl til et program med udbetaling af dusør for fejl," skriver PayPals it-sikkerhedschef, Michael Barrett, i et blogindlæg torsdag.

Cross-site scripting (XSS), cross-site request forgery (CSRF), SQL-injektion (SQLi) og sårbarheder til omgåelse af autentifikation vil alle udløse dusør.

Størrelsen af dusøren vil dog blive fastsat af PayPals sikkerhedsteam ud fra en vurdering af hvert enkelt tilfælde.

Skal have godkendt konto

Man er desuden nødt til at have en godkendt PayPal-konto for at få udbetalt sådanne dusører.

PayPal følger hermed i fodsporene af virksomheder som Google, Mozilla og Facebook, der alle i løbet af de sidste par år har implementeret dusørprogrammer for fejl fundet i deres online-services.

"En lille håndfuld andre selskaber udbetaler i forvejen dusører for fejl, men vi mener, at vi er det første selskab i finanssektoren, der gør det," siger Barrett.

Andre har haft succes med modellen

Googles, Mozillas og Facebooks dusørprogrammer har ifølge Barrett indtil videre haft positive resultater.

"Jeg havde i første omgang nogle forbehold overfor ideen med at betale eksperter for rapportering af fejl, men jeg kan med glæde erkende, at dataene har vist, at jeg tog fejl - det er helt tydeligt en effektiv måde at øge sikkerhedsanalytikernes opmærksomhed på internetbaserede services, så de derfor finder flere potentielle problemer."

Det nye dusørprogram vil hjælpe PayPal til at reducere antallet af sårbarheder i sine websites, men fejl vil der altid være, påpeger Marius Gabriel Avram, der er sikkerhedsudvikler hos sikkerhedsfirmaet RandomStorm.

I sin fritid leder Avram efter sårbarheder i webservices fra Google, Facebook, Twitter, Microsoft, eBay, PayPal og andre selskaber, der gør den slags muligt for sikkerhedsanalytikere på den betingelse, at de rapporterer deres opdagelser privat og ikke forårsager nogen skade.

Det fungerer som en udfordring, der hjælper sikkerhedsanalytikere til at forbedre deres kompetencer og giver i visse tilfælde en ekstra indtægt, oplyser Avram.

Dusør-programmer

Avram har fundet og rapporteret over 10 sikkerhedsfejl i PayPals primære og mobile websites alene i løbet af de sidste to uger.

Nogle af dem var meget alvorlige, fortæller han og tilføjer, at PayPals medarbejdere har reageret hver gang.

Det er ikke alle selskaber, der har råd til at udbetale dusører for rapportering af fejl.

Men der findes en lang række store virksomheder såsom eBay, Amazon, Sony og andre, der ifølge Avram kan og bør implementere sådanne programmer, især i lyset af at flere af dem tidligere har oplevet brud på datasikkerheden.

De slemme hackere

Visse hackere - de såkaldte black hats - misbruger de sårbarheder, de finder, til ulovlige formål.

Andre offentliggør dem på deres personlige blogs eller på andre offentligt tilgængelige websites for at blive et kendt navn i branchen.

Avram vurderer, at det er denne anden kategori af hackere, som programmer til udbetaling af dusører for rapportering af sårbarheder kan tiltrække.

Ligesom Google og Facebook har PayPal ifølge Avram indset, at det ikke rigtigt fungerer at bede sådanne folk om at rapportere de sikkerhedshuller, de finder, uden at der samtidig skabes et incitament.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ciklum ApS
Offshore software- og systemudvikling.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere