Araştırmacılar, kuruluşlar ve hata ifşa platformlarının tümü, kullanıcı verilerinin korunmasına yardımcı olmak için iyileştirmeler yapabilir
Hata ödül programları, katmanlı bir güvenlik yaklaşımının yararlı bir parçası olabilir, ancak paydaşlardan, kendilerine ait bir veri sızıntısı oluşturmamak için açıklama süreci boyunca veri işleme uygulamalarını sıkı bir şekilde tutmaları istendi.
Dün (11 Ağustos) Black Hat USA’da, delegelere bug bounty pazarındaki araştırma gözetimlerinin ve kalitesiz veri yönetişim ilkelerinin, kullanıcıların kişisel olarak tanımlanabilir bilgilerinin sızmasına neden olduğu söylendi. Dahası, bu veriler genellikle ilgili bilet kapatıldıktan çok sonra bile mevcuttur.
ÖNERİLEN Black Hat USA: Kasten savunmasız bulut altyapısı, bir kalem testçisinin oyun alanıdır
İlginç bir sunumda, Truffle Security’nin (TruffleHog’un arkasındaki şirket) CEO’su Dylan Ayrey ve yazılım firması Asana’nın veri koruma sorumlusu ve baş gizlilik danışmanı Whitney Merrill, hata ödül ifşa sürecinin potansiyel tuzaklarına daha yakından baktılar. araştırmacılardan başlayarak
Gerçek dünyadan örneklere atıfta bulunan Ayrey, birçok hata ödül programının araştırmacıların kullanıcı verilerine erişmesini yasaklasa da bunun hala gerçekleştiğini söyledi. Örneğin, siteler arası kör komut dosyası çalıştırma (XSS) istismarı, bir yönetici uç noktasında tetiklenebilir ve tüm kullanıcı veritabanının boşaltılmasına neden olabilir.
Hata ödüllerinden toplanan veriler, çok çeşitli sistemlerde depolanabilir.
Bu kullanıcı verileri daha sonra, hata ödül programının sorun izleyicisine eklenmenin yanı sıra çeşitli üçüncü taraf depolama sistemlerine aktarılabilir – bunların tümü daha sonra kendi potansiyel bir sızıntı vektörü haline gelir.
Dışarıdaki yüzlerce program arasında ölçeklendiğinde, bu, çeşitli yerlerde uzun bir süre boyunca potansiyel olarak hassas verilerin saklanmasına neden olabilir.
iz bırakma
Ayrey ve Merrill, tesadüfi araştırma keşiflerine ek olarak, kuruluşların ve hata ödül platformlarının, hata avcılarından ilgili tüm verileri silmesini istememeleri veya hassas bilgileri dosyada bırakmaları nedeniyle, sızıntılara kapı araladığını söyledi. hata destek bileti kapatıldı.
Hata ödül programlarına ev sahipliği yapanlara tavsiyelerde bulunan Merrill, “Muhtemelen ‘mükemmel’e ulaşamayacağız, ancak ilerlemek için kademeli adımlar atabiliriz. Temel veri yönetişimi ilkeleri ve veri yaşam döngüsündeki en iyi uygulamalar, oraya ulaşmanıza yardımcı olacaktır.”
Ayrey şunları ekledi: “Bug ödüllerindeki bu gizlilik sızıntıları gerçekten yaygın ve herkese açık olarak paylaşabileceğimiz her örnek için herkese açık olarak paylaşılamayan 100 örnek var. Bence bunun hakkında bir konuşma başlatmanın ve bunun etkisinin bir kısmını azaltmanın zamanı geldi.
“Hata ödüllerinin değişim için olumlu bir güç olduğuna ve hata ödülleri veren şirketlerin, yapmayan şirketlerden daha iyi bir yerde olduğuna inanıyoruz.”
KAÇIRMAYIN Black Hat ABD’de sergilenen yeni HTTP istek kaçakçılığı saldırıları sınıfı