不少科技公司會透過漏洞回報獎勵計劃 (Bug bounty program) 來改善系統安全,早前我們報導過成人網站 Pornhub 也仿效推出相應計劃。不過近日就有資深安全研究人員在網絡上抱怨,指 Pornhub 漏洞回報計劃只為吸引媒體注意博取宣傳,塑造安全網站形象,實則對安全研究人員回報的漏洞並不重視,而且獎金亦沒有其宣傳的那麼豐厚。
資深安全研究人員投訴回報漏洞不受重視
究竟 Pornhub 真的只是為吸引媒體注意博取宣傳,還是初次推出漏洞回報計劃經驗不足導致處理不當?不妨先看一下安全研究人員 Ciaran McNally 的說法。
Ciaran McNally 在其個人 Blog 上撰文指,Pornhub 在正式公佈其漏洞回報計劃前曾進行內部測試,McNally 是其中一名受邀請的安全研究人員。而在此期間,McNally 亦成功找出多個重大漏洞回報給 Pornhub,但每次所獲得的獎金僅僅數百美金,甚至未有收到報酬,並非該公司宣傳的最高可達 25,000 美元那般豐厚。
McNally 透露,他曾發現一個漏洞令他可以存取到 pornhubpremium.com 的內容管理系統,而該漏洞僅獲 750 美元的獎勵;他也發現另一個可以存取名為 DECEPTICron 系統的漏洞,該系統可用於管理 Pornhub 所擁有的不同服務上的 Cron jobs,然而他並未收到任何獎勵,而 Pornhub 則解釋指該系統過舊即將淘汰,因此不發放獎勵。
隨後他再次發現了一個管理大量 SVN 資料庫的讀寫存取漏洞,仍然只獲 500 美元的獎勵。「該 SVN 代碼有著多個網站中的大量資料庫密碼,可以從中找到不少具價值的資料。」McNally 補充。然而即使如此重要的漏洞他亦僅獲 500 美元的獎勵,並未能獲得 Pornhub 在新聞稿中宣稱的 25,000 美元獎金,儘管這個漏洞足以讓發現的人可以藉著植入惡意代碼控制 Pornhub 旗下的大部分服務。
對此 McNally 表示非常失望,並指 Pornhub 透過公開的漏洞回報獎勵計劃獲得大量媒體的注意及報導,塑造出安全、專業的形象,但他們的態度和舉動卻令安全研究人員失去動力繼續找尋漏洞。
Pornhub 迅速回應承諾改善計劃
McNally 在 Blog 上公佈了自身的遭遇後亦獲不少國外媒體報導,Pornhub 方面就事件回應指,漏洞回報獎勵計劃公佈後他們就收到數以千計的回報,感激所有投入參與的安全研究人員。
Pornhub 又指第一次推出相關計劃需要不斷學習和累積經驗,會聽取各方意見並作改善,而為了該計劃能更有效地運作,將會推出一系列改變並即時生效。例如會在 24 小時內處理好每個提交的回報;公佈詳細的獎勵標準,讓研究人員能預計不同類型的漏洞可以獲得的獎勵金額,並會徐詳細解釋提交的漏洞是否屬於回報計劃的範圍;以及設計限量版 Pornhub 漏洞獵人 T-shirts 供計劃參與者。
而針對 McNally 反映的情況,Pornhub 亦有所表示。McNally 在其個人 Blog 上表示,在 pornhubpremium.com 上找到的內容管理系統漏洞獎勵已提高到 5,000 美元,他表示非常樂意見到 Pornhub 作出改變,並願意聆聽研究人員的意見令整個漏洞回報社群變得更好。
Source: Softpedia MakthePla.net