قام بائع التخزين السحابي بدفع مبلغ 319.300 دولار أمريكي في برنامج مكافأة الأخطاء لمدة يوم واحد والذي حشد 45 عضوًا في HackerOne في سنغافورة، حيث ناقش اثنان من المتسللين إستراتيجيتهما وقدما النصائح للشركات لتأمين بياناتهما بشكل أفضل أنظمة.
كشفت Dropbox عن 264 نقطة ضعف، ودفعت مكافآت بقيمة 319.300 دولار أمريكي، بعد عملية مطاردة أخطاء استمرت يومًا واحدًا في سنغافورة والتي جمعت قراصنة من 10 دول حول العالم. هذا الحدث المباشر، الذي استضافته منصة مكافآت الأخطاء HackerOne، شهد مشاركة 45 من أعضائها من دول مثل اليابان، والهند، وأستراليا، تتحد هونج كونج والسويد، وبعضهم لا يتجاوز عمره 19 عامًا، معًا في الدولة المدينة في محاولة لاختراق موقع Dropbox المستهدف. أنظمة.
كان بائع التخزين السحابي قد كشف قبل أيام عن أجزاء من نطاق "الهجوم"، لذلك حدد أعضاء HackerOne بالفعل وأرسلوا العشرات من الأخطاء المحتملة قبل الحدث المباشر. وفقًا لمتحدث باسم الشركة، كان التركيز هذه المرة على Dropbox وأحدث منتجاته الاستحواذ على منصة سير العمل الرقمية HelloSign.
مع الإشارة إلى أن الشركة كان لديه بالفعل برنامج مكافأة الأخطاء الناضجة
قال المتحدث باسم Dropbox إنها أنشأت "عملية محددة جيدًا" لمراجعة الأخطاء التي تم الإبلاغ عنها من مثل هذه المبادرات بالإضافة إلى تحديد مدى خطورتها والعلاجات اللازمة.أنظر أيضا
الوجبات السريعة الرئيسية من خرق بيانات الرعاية الصحية في سنغافورة
اقرا الانوقال لـ ZDNet: "مثل جميع جهودنا في مجال مكافأة الأخطاء، نأمل في الاستفادة من وجهات النظر والجهود الفريدة للمشاركين لمساعدتنا على مواصلة جعل منتجاتنا آمنة". "على الرغم من أن لدينا بالفعل أحد أكثر النطاقات تساهلاً في الصناعة، فقد قمنا بتوسيع نطاقه بشكل أكبر ليشمل حدث القرصنة المباشرة [في سنغافورة]. تشجع Dropbox بقوة جميع الشركات على الاستثمار في برنامج مكافآت الأخطاء، وتعتبر أن برنامج مكافآت الأخطاء الذي يتم إدارته بشكل جيد هو علامة على النضج الأمني التقني."
من بين الانقلابات الـ 264 التي وقعت في سنغافورة، تم اكتشاف ثغرات أمنية في Dropbox وHelloSign وأنظمة البائعين الذين عملوا مع Dropbox.
قامت HackerOne بتجميع أكثر من 1300 برنامج من هذا القبيل منذ تأسيسها في عام 2012، دفع التعويضات أكثر من 49 مليون دولار أمريكي لقراصنةها. يوجد حاليًا أكثر من 390.000 متسلل مسجل على شبكتها. وفي سنغافورة، عملت مع عملاء مثل وزارة الدفاع, GovTech، والاستيلاء.
وأعرب مارتن ميكوس، الرئيس التنفيذي لشركة HackerOne، عن أمله في تحقيق مكافآت مدفوعة بقيمة 100 مليون دولار أمريكي بحلول نهاية عام 2020، وهو ما سيتزامن مع تطلعاته إلى أن يكون لديه أيضًا مجتمع يضم مليون متسلل أخلاقي على منصته. وبحلول ذلك الوقت، تتوقع الشركة أن تكون قد ساعدت عملائها على تحديد وإصلاح أكثر من 200000 نقطة ضعف، بما في ذلك 16000 خطأ بالغ الخطورة.
أنشأت الشركة منذ سبعة أشهر مكتبها في سنغافورة، والذي يعمل كمقر رئيسي لها في منطقة آسيا والمحيط الهادئ ويدعم العملاء في الصين وأستراليا وتايلاند وغيرها.
وردا على سؤال حول كيفية اختلاف خدماتها عن شركات الاستشارات الأمنية، قال ميكوس إنه لا يزال هناك دور لاستشارات الطرف الثالث إذا واجهت الشركات مشكلة معينة تتطلع إلى اختبارها. "إن قوة مجتمعنا تكمن في تنوعه. وقال: "إن المتسللين لدينا يأتون دون تحيز ويعرفون أنهم لن يحصلوا على أموال إلا إذا عثروا على شيء ما، لذلك سيستمرون في البحث حتى يجدوا ذلك".
وقال لوك تاكر، كبير مديري المجتمع والمحتوى في HackerOne، إن الشركة عملت مع العملاء لتحديد عدد المتسللين الذين سيتم دعوتهم ونقلهم جواً إلى الموقع للمشاركة في البث المباشر حدث. كما تم تشجيع العملاء أيضًا على أن يكون لديهم فريق أمني خاص بهم ينضم إلى عملية البحث عن الأخطاء.
وأضاف تاكر أن العميل سيحدد مقدار المكافآت التي يريد دفعها، وسيحصل HackerOne على عمولة من المكافآت. وقال إنه حتى الآن، كان أعلى مبلغ مدفوع على الإطلاق في حدث ليوم واحد هو 400 ألف دولار أمريكي، مضيفًا أن البرامج متعددة الأيام يمكن أن تشهد مكافآت تتجاوز 500 ألف دولار أمريكي.
وقال إن عملاء HackerOne يدفعون أيضًا اشتراكًا للوصول إلى الخدمات مثل فريق الفرز، المسؤول عن مراجعة الأخطاء التي يتم العثور عليها أثناء البرنامج والتحقق من صحتها.
لاختيار المتسللين الذين سيشاركون في برنامج ما، سيقوم HackerOne بتقييم موقف المتسلل في البرنامج لوحة المتصدرين الخاصة بالشركة لتقييم اتساقها وملفها الشخصي، بما في ذلك دقة المتسلل وتأثير الأخطاء وجد. وأضاف تاكر أن HackerOne قام أيضًا بتشغيل ألعاب Capture The Flag المصممة خصيصًا لتحديد مهارات المتسللين في مجالات محددة مثل تطبيقات الهاتف المحمول.
من بين أولئك الذين شاركوا في حملة البحث عن الأخطاء في Dropbox في سنغافورة كان جاك كيبل، وهو طالب جديد يدرس حاليًا علوم الكمبيوتر في جامعة ستانفورد.
في عمر 19 عامًا، كان كيبل عضوًا في HackerOne على مدار الأعوام الثلاثة الماضية وشارك في أكثر من 100 برنامج لمكافأة اكتشاف الأخطاء البرمجية، بما في ذلك Google وFacebook ووزارة الدفاع الأمريكية. حتى الآن، حدد أكثر من 250 نقطة ضعف، بما في ذلك أكثر من 30 نقطة تتعلق بـ القوات الجوية الامريكية. وقد ذهبت المكافآت التي حصل عليها إلى تمويل تعليمه الجامعي، لكنه رفض الكشف عن المبلغ الذي جمعه حتى الآن.
قبل بدء حدث القرصنة المباشر على Dropbox، كان قد حدد بالفعل 10 أخطاء.
أنظر أيضا
كما شارك زميل HackerOne ومهندس الأمان Kaung Htet Aung البالغ من العمر 26 عامًا في عملية البحث عن الأخطاء في Dropbox.
شارك كاونج، الذي جاء من ميانمار، في أكثر من 40 برنامجًا، بما في ذلك حدث مباشر آخر في نيويورك، منذ انضمامه إلى HackerOne قبل أقل من عامين. يبلغ عدد نقاطه الحالية حوالي 100 نقطة ضعف، كما اكتشف هو أيضًا خمس نقاط ضعف قبل بدء حدث القرصنة المباشر على Dropbox.
وتخصص كاونج في هندسة الكمبيوتر في جامعة سنغافورة الوطنية، وقال إنه بنى مهاراته في القرصنة من خلال لعب ألعاب Capture The Flag من HackerOne.
انظر طويلا بما فيه الكفاية، سيتم الكشف عن الثقوب
وردا على سؤال عن الأنظمة التي كانت الأضعف والأصعب في الاختراق، قال كيبل إن هذا يعتمد على نضج أنظمة المنظمة وتوجهها فيما يتعلق بالأمن. وبغض النظر عن ذلك، أشار إلى أن كل نظام سيكون به نقاط ضعف. وأضاف: "إذا نظرت إليها لفترة كافية، فستجدهم". "ما يهم أكثر هو كيفية استجابة الشركات للعيوب التي تجدها."
يجب على الشركات أن تدرك أن أنظمتها من المحتمل أن تكون بها عيوب وأن تكون على استعداد للعثور عليها وقال كيبل إن حل هذه المشكلات، وأضاف أن أنظمتهم لا يمكن أن تكون آمنة إلا إذا تم ذلك أولاً اعترف بهذا.
واتفق ميكوس مع هذا الرأي، مشيرًا إلى أن كل نظام به ثغرات، ويجب على الشركات دائمًا أن تسعى جاهدة لإصلاحها جميعًا. وقال: "ابدأ بالتركيز ليس على المكان الأكثر عرضة للخطر، ولكن حيث تكون لديك القيمة الأكبر على المحك، مثل الأنظمة التي تحتوي على بيانات العملاء أو البيانات الطبية". وأشار إلى أن أجهزة إنترنت الأشياء (IoT)، على سبيل المثال، عادة ما تكون محمية بشكل سيئ ولكنها عادة لا تحتوي على الكثير من البيانات الحساسة.
وحث كل من Cable وKaung الشركات على التخطيط دائمًا للأمن والنظر فيه منذ البداية وطوال دورة حياة تطوير برامجهم بأكملها.
وأشار كيبل إلى أن هذا سيكون صعبًا عندما يكون لدى الشركات مشكلات أخرى تدعو للقلق، لكنها بحاجة إلى إدراك مشاكلها يمكن تحديد الوضع الأمني بشكل أفضل إذا اتخذوا إجراءات في وقت مبكر - أثناء تطويرهم برمجة.
وافق كاونج على ذلك، مضيفًا أنه يجب على المؤسسات إجراء اختبارات ومراجعات أمنية كجزء من الجدول الزمني لتطوير البرامج الخاصة بها. وقال: "لذلك أثناء تطويره، فإنهم يجعلونه آمنًا في نفس الوقت"، مشيرًا إلى أن هذا سيضمن أيضًا عدم إصدار ميزات إضافية دون تأمين.
وفقًا لتاكر، كانت هناك أربع إلى خمس حالات عُرضت فيها على أعضاء HackerOne وظائف في شركات شاركت في برامج مكافأة اكتشاف الأخطاء البرمجية.
قالت Dropbox لـ ZDNet إنها تستثمر "بكثافة" في بناء فريقها الأمني الخاص وتثقيف موظفيها حول أفضل الممارسات الأمنية ومشهد التهديدات الحالي. وقال المتحدث إن هذا يمكّن الجميع داخل المنظمة من تسليح أنفسهم بشكل أفضل ضد الهجمات مثل التصيد الاحتيالي والهندسة الاجتماعية، لكنه لم يذكر حجم فريقها الأمني.
ورفض أيضًا الكشف عن عدد محاولات القرصنة التي اكتشفها Dropbox وحظرها يوميًا، لكنه قال إنها عالمية قاعدة المستخدمين التي تزيد عن 500 مليون تعني أن التحديات التي واجهتها لم يواجهها سوى عدد قليل من الشركات الأخرى عالميا. كما رفض الكشف عن تفاصيل عدد محاولات القرصنة التي نشأت من آسيا أو عدد مستخدميها من آسيا.
لها السنة المالية 2018، حققت Dropbox إيرادات بقيمة 1.39 مليار دولار أمريكي - بزيادة قدرها 26% عن العام السابق - وجمعت 117.64 دولارًا أمريكيًا، في المتوسط، من الإيرادات من كل مستخدم يدفع.
التغطية ذات الصلة
شاب يبلغ من العمر 19 عامًا يكسب الملايين من القرصنة الأخلاقية
تصدرت المراهق الأرجنتيني المخططات عندما يتعلق الأمر بصيد مكافآت الحشرات.
سنغافورة تعرض مكافأة على اكتشاف الأخطاء وتنشئ مركزًا للأمن السيبراني في رابطة دول جنوب شرق آسيا
ستطلق حكومة سنغافورة مبادرة مكافأة اكتشاف الأخطاء بحلول نهاية عام 2018، حيث سيتم دعوة المتسللين المحليين والدوليين لاختبار الأنظمة لنقاط الضعف، بالإضافة إلى مركز للأمن السيبراني العام المقبل لتسهيل التعاون وجهود التدريب بين دول آسيان أعضاء.
سنغافورة تسلح خبراء الدفاع السيبراني وتفتح مدرسة للدفاع السيبراني
تخطط وزارة الدفاع في البلاد لتوظيف 300 متخصص مدربين في مجالات مثل مراقبة الشبكات والمراقبة تقييم نقاط الضعف لحماية أنظمتها بشكل أفضل وفتحت مدرسة لتسليح المجندين المستقبليين بها مهارات الدفاع السيبراني.
وزارة الدفاع السنغافورية تدعو المتسللين إلى اختراق أنظمتها
ستدير وزارة الدفاع في البلاد برنامج "مكافأة الأخطاء"، بقيادة HackerOne، لدعوة المتسللين في جميع أنحاء العالم لتحديد نقاط الضعف في أنظمتها التي تواجه الإنترنت.
سيقوم الاتحاد الأوروبي بتمويل برامج مكافأة الأخطاء لـ 14 مشروعًا مفتوح المصدر بدءًا من يناير 2019
تتضمن بعض المشاريع المعتمدة KeePass، و7-zip، وVLC Media Player، وDrupal، وFileZilla.