Ne var ne yok?
Capital One olarak güvenliğin önemine güçlü bir şekilde inanıyoruz ve misyonumuzun bir parçası da müşterilerimizi ve onların verilerini korumaktır. Bu taahhüdün bir parçası olarak, 2019’da özel hata ödül programımızı başlattık ve dünyanın her yerinden bilgisayar korsanlarını harici varlıklarımızdan herhangi birinde bulunan güvenlik açıklarını bulmaya ve bildirmeye davet ettik.
Geçtiğimiz beş yılda, hata ödülü topluluğu içinde genişledik, işbirliği yaptık ve kendimizi iyi bir ortak olarak kabul ettirdik. Bu süre zarfında, en kritik uygulamalarımızın güvenliğini sağlamaya odaklanarak birden fazla Canlı Hacking Etkinliğine ev sahipliği yapmak için HackerOne ile birlikte çalıştık. Ayrıca Capital One’ın güvenliğinin sağlanmasına yardımcı olmak amacıyla hata ödülü topluluğunun parlak beyinlerinden faydalanmak amacıyla odaklanmış test toplantılarına da ev sahipliği yaptık, ancak burada durmak istemiyoruz.
Bu yıl, Capital One’ın yeni genel hata ödül programını başlatarak bunu bir adım daha ileri götürmeyi planlıyoruz. Herkesi bu adımı bizimle birlikte atmaya ve müşterilerimiz için güvenli bir ortam oluşturmaya ve korumaya devam etmek için bize katılmaya davet ediyoruz.
Kapsamda Neler Var?
Bu programın kapsamı, Capital One’ın temel dışarıya yönelik uygulamalarına odaklanacaktır. Bu gelişmiş odaklanma, yoğun olarak kullandığımız uygulamalarımızda güvenliği artırmaya yardımcı olacak ve sonuç olarak son kullanıcılarımıza daha fazla güvenlik sağlayacaktır. Kapsam dahilindeki alanlar şunları içerir:
- *.capitalone.com
- *.capitaloneshopping.com
- *.capitalonegslbex.com
- *.capitalone.ca
- ENO Tarayıcı Uzantısı
- Capital One Alışveriş Tarayıcı Uzantısı
- Varsa, yukarıdaki uygulamaların her biri için Mobil Uygulamalar
Fiziksel testlere, sosyal mühendisliğe, kimlik avına ve hizmet reddi saldırılarına dayanan saldırı senaryoları, üçüncü taraf etki alanları ve varlıkları gibi kapsam dışında olacaktır.
Capital One Güvenlik Açıklarını ve Açıklamaları Nasıl Ele Alır?
Capital One, müşterilerimizin bilgilerinin güvenliğine yatırım yapmaya kararlıdır. Bug Bounty ekibimiz, dünya çapındaki bilgisayar korsanları tarafından tespit edilen tüm potansiyel güvenlik açıklarını sorumlu bir şekilde ele alan bir grup güvenlik uzmanından oluşur. Ekibimiz, müşterilerimizin güvenliğini sürdürme çabalarında kararlıdır; müşterilerimizi proaktif bir şekilde korumak için ilk önceliklendirme, etki değerlendirmesi ve iyileştirme yoluyla alabileceğimiz olası güvenlik açığı raporlarını aktif olarak alır ve bunlara yanıt verir.
Programımızın bir bilgisayar korsanı ve gelecekteki muhabiri olarak, raporunuzun ortağımız HackerOne aracılığıyla ilk değerlendirme değerlendirmesinden ve doğrulamadan geçmesini bekleyebilirsiniz. Bundan sonra Capital One’ın Bug Bounty ekibi, gönderdiğiniz güvenlik açığının etkisini test edip değerlendireceğimiz ve bir düzeltme geliştirmek ve uygulamak için dahili ekiplerimizle birlikte çalışacağımız ikincil bir doğrulama gerçekleştirecektir. Ekibimizin şeffaf iletişiminin son derece önemli olduğu doğrulamadan düzeltmeye kadar gelişmelerden haberdar olmayı bekleyebilirsiniz.
Müşterilerimizi korumaya çalışırken bu adımı atmayı sabırsızlıkla bekliyoruz ve sizin de bizimle bu adımı atmayı seçmenizi umuyoruz. Günlüklerde görüşürüz!