Ne var ne yok?
Capital One olarak güvenliğin önemine şiddetle inanıyoruz ve misyonumuzun bir kısmı müşterilerimizi ve verilerini korumaktır. Bu taahhüdün bir parçası olarak, 2019 yılında özel hata ödül programımızı başlattık ve dünyanın her yerinden bilgisayar korsanlarını dış varlıklarımızdan herhangi birinde güvenlik açıkları bulmaya ve bildirmeye davet ettik.
Son beş yılda, Bug Bounty topluluğunda iyi bir ortak olarak kendimizi genişlettik, işbirliği yaptık ve kurduk. Bu süre zarfında, en kritik uygulamalarımızı güvence altına almaya odaklanarak birden fazla canlı hack etkinliğine ev sahipliği yapmak için Hackerone ile çalıştık. Ayrıca, Capital One’ı güvence altına almak için Bug Bounty topluluğundaki parlak zihinleri kullanmak için odaklanmış test etkileşimlerine ev sahipliği yaptık, ancak orada durmak istemiyoruz.
Bu yıl, Capital One’ın yeni kamu böcek ödül programını başlatarak bunu bir adım daha ileri götürmeyi planlıyoruz. Herkesi bizimle bu adımı atmaya ve müşterilerimiz için güvenli bir ortam kurmaya ve korumaya devam etmek için bize katılmaya davet ediyoruz.
Kapsamda ne var?
Bu programın kapsamı, Capital One’ın temel dışsal uygulamalarına odaklanacaktır. Bu gelişmiş odak noktası, ağır kullanılan uygulamalarımızdaki güvenliği artırmaya ve nihayetinde son kullanıcılarımız için daha fazla güvenlik sağlayacaktır. Kapsam içi alanlar şunları içerir:
- *.Capitalone.com
- *.Capitaloneshopping.com
- *.Capitalonegslbex.com
- *.Capitalone.ca
- Eno tarayıcı uzantısı
- Capital One alışveriş tarayıcısı uzantısı
- Yukarıdaki uygulamaların her biri için mobil uygulamalar, varsa
Fiziksel test, sosyal mühendislik, kimlik avı ve hizmet reddi saldırılarına dayanan saldırı senaryoları, üçüncü taraf alanlar ve varlıklar gibi kapsam dışında olacaktır.
Capital One, güvenlik açıklarını ve açıklamaları nasıl ele alır?
Capital One, müşterilerimizin bilgilerinin güvenliğine yatırım yapmaya kararlıdır. Bug Bounty ekibimiz, dünya çapında bilgisayar korsanları tarafından tanımlanan tüm potansiyel güvenlik açıklarını sorumlu bir şekilde ele alan bir grup güvenlik uzmanıdır. Ekibimiz, müşterilerimizin güvenliğini sürdürme, ilk triyaj, etki değerlendirmesi ve müşterilerimizi proaktif olarak korumak için iyileştirme yoluyla alabileceğimiz herhangi bir potansiyel güvenlik açığı raporunu aktif olarak alma ve yanıtlama çabalarında kararlı.
Programımız için bir hacker ve gelecekteki muhabir olarak, raporunuzun ortağımız Hackerone aracılığıyla ilk triyaj değerlendirmesi ve doğrulamasına tabi tutulmasını bekleyebilirsiniz. Bundan sonra, Capital One’ın Bug Bounty ekibi, gönderilen güvenlik açığınızın etkisini test edip değerlendireceğimiz ve bir düzeltme geliştirmek ve uygulamak için dahili ekiplerimizle birlikte çalışacağımız ikincil bir doğrulama gerçekleştirecektir. Ekibimizden gelen şeffaf iletişim ile doğrulamadan iyileştirmeye kadar döngüde tutulmayı bekleyebilirsiniz.
Müşterilerimizi korumaya çalışırken bu sıçramayı dört gözle bekliyoruz ve bizimle sıçramayı seçmenizi umuyoruz. Sizi kütüklerde yakalayın!