La piattaforma afferma che semplicemente non è giusto ospitare un sistema che perseguita figli e coniugi.
Lo sviluppatore di spyware FlexiSpy intendeva indurre i ricercatori a rivelare le vulnerabilità del suo software tramite HackerOne. HackerOne aveva altre idee.
Il mese scorso, la società di sorveglianza ha rivelato i piani su Twitter per trasferire il suo programma bug bounty su HackerOne. Il programma bug bounty, creato nell’“interesse della trasparenza”, avrebbe offerto ai ricercatori tra i 100 e i 5.000 dollari per rivelare privatamente i bug all’azienda.
FlexiSpy ha detto che la mossa era in fase di approvazione ma probabilmente non immaginava che ci sarebbero stati degli ostacoli.
Le vulnerabilità di qualsiasi tipo sono una brutta notizia quando vengono sfruttate, ma con questa particolare richiesta di bug bounty c'erano considerazioni etiche da tenere in considerazione.
FlexiSpy offre in vendita spyware consumer, noto per essere stato installato per tracciare bambini, coniugi e partner.
Una volta pagato e installato, lo spyware consente agli utenti di ascoltare da remoto chiamate in tempo reale, curiosare su messaggi di testo e VoiP e inviare SMS falsi messaggi, intercettare e visualizzare contenuti multimediali, leggere e-mail e compromettere altre app come WhatsApp, Facebook, Skype e Instagram, tra gli altri altri.
In risposta alla richiesta e al dibattito in linea Successivamente, il CEO di HackerOne Marten Mickos e il CTO Alex Rice hanno chiarito la posizione della piattaforma bug bounty. Giovedì la coppia detto in un post sul blog che FlexiSpy non è un cliente, ma ha spinto a riesaminare ciò che può accadere quando i principi aziendali entrano in conflitto.
Il mese scorso, un gruppo di hacker chiamati Decepticons avrebbe compromesso FlexiSpy e fatto trapelare il software dell'azienda codice sorgente on-line. Ciò probabilmente ha spinto all'applicazione del bug bounty, ma la dubbia posizione legale dell'azienda e lo scopo stesso dello spyware consumer FlexiSpy hanno innervosito i fornitori di bug bounty.
Bugcrowd ha già detto pubblicamente che FlexiSpy non sarebbe il benvenuto e ora HackerOne ha spiegato perché anche l'azienda non accetterà la richiesta di FlexiSpy.
Sebbene HackerOne ritenga che l'accettazione non dovrebbe basarsi su "giudizi morali arbitrari" e che la legalità del software dovrebbe essere lasciata ai tribunali per decidere, esiste sia "ampie prove" che una convinzione generale che FlexiSpy operi illegalmente, di cui eventuali società ad essi collegate potrebbero eventualmente essere trascinate giù.
Inoltre, sebbene le vulnerabilità siano "universalmente negative" e l'intero scopo dei programmi di bug bounty è quello di migliorare sicurezza generale e mantenere il flusso del mercato aperto, dove tracciare il limite quando si tratta di software grigio è difficile decisione.
"Finché FlexiSPY sarà autorizzato a commercializzare software progettato per spiare bambini e vittime di abusi domestici, le vulnerabilità metteranno a rischio tali individui", afferma HackerOne. "È impossibile prevedere con certezza il danno collaterale di una vulnerabilità sfruttata. A conti fatti, se qualcuno viene infettato da spyware probabilmente starebbe meglio infettato con spyware sicuro [...] Ma risolverli avvantaggia l'azienda di spyware più che proteggere le vittime."
La piattaforma bug bounty sostiene inoltre che "commercializzare la sicurezza dei loro prodotti come" Secured by HackerOne "supporta direttamente i loro sforzi di vendita e porta a un'ulteriore distribuzione e vittimizzazione".
Se FlexiSpy venisse accettato da HackerOne, l'azienda sarebbe tenuta a pubblicare anche una vulnerabilità politica di divulgazione e impegnarsi a proteggere gli hacker da azioni legali, nessuna delle quali è attualmente la caso.
"HackerOne renderà sempre disponibili programmi di divulgazione delle vulnerabilità a tutte le organizzazioni che operano legalmente e si impegnano a collaborare con gli hacker in buona fede", afferma l'azienda. "Queste organizzazioni sono benvenute ad ospitare la loro sicurezza sulla piattaforma HackerOne. Non agiremo contro di loro basandoci esclusivamente su giudizi morali."
"Tuttavia, impegnarsi in modo proattivo con la comunità HackerOne attraverso un programma di bug bounty è un privilegio concesso solo alle organizzazioni che si comportano in modo etico", HackerOne ha aggiunto.
FlexiSpy non sarà autorizzato a ospitare un programma di bug bounty su HackerOne e non ha risposto immediatamente al commento.
Sicurezza
- 8 abitudini dei lavoratori remoti altamente sicuri
- Come trovare e rimuovere spyware dal telefono
- I migliori servizi VPN: come si confrontano i primi 5?
- Come scoprire se sei coinvolto in una violazione dei dati e cosa fare dopo