Anonimleştirilmiş sayıda hata keşfi, geri itmeden sonra hızla silinir
Popüler bilgisayar korsanlığı aracı XSS Hunter’ın yeni sürümünün sahipleri, ortaya çıkarılan güvenlik açıkları hakkında anonimleştirilmiş istatistikleri paylaştıktan sonra kullanıcılar tarafından oluşturulan potansiyel olarak hassas verileri incelemekle eleştirildi.
Orijinal yaratıcısı Matthew Bryant tarafından kullanımdan kaldırılmasının ardından geçen hafta açık kaynak aracının yeni bir çatalını başlatan Truffle Security’nin tartışmalı iletişimi dün tweetlendi.
“Vay canına, geçen hafta XSSHunter çeşidimizi piyasaya sürdüğümüzden beri>1000 XSS Raporu” dedi.
En son bilgisayar korsanlığı araçları haberleri ve analizleri hakkında daha fazlasını okuyun
“~20 tanesinin .git dizini açığa çıktı” diye devam etti ve “~15 tanesinin bulut kimlik bilgileri açığa çıktı ve >100 tanesinin CORS sorunları var!”
Bu, bilgisayar korsanı ve kalem testçisi Julien Ahrens dahil olmak üzere Twitter’daki böcek avcıları ve güvenlik araştırmacıları arasında şaşkınlığa neden oldu. “Sanki birisi verilerinize yakından bakıyor…” tweet attı. “Protip: Potansiyel olarak hassas verilerin bu şirkete sızmasını önlemek için kendi xsshunter-express veya ezxss örneğinizi barındırın.”
“Anonimleştirilmiş istatistikler”
Truffle Security, sosyal medya fırtınasına rahatsız edici tweet’i silerek yanıt verdi ve kabul etmek geri çevirme: “XSSHunter hakkında bazı anonimleştirilmiş istatistikler yayınladık (Hackerone’nin halka açık anonimleştirilmiş raporlarına benzer) ve topluluk üyeleri mahremiyetle ilgili endişelerini dile getirdiler, bu yüzden onu kaldırdık. Yeniden gönderdiğiniz için teşekkür ederiz, bizi sorumlu tutmak için tamamen adil.
Ancak, ‘@Th3MadHacker’ karşılık verdi: “Bu hackerone ile aynı şey değil, hackerone üzerindeki Programlar metriklerin paylaşılmasına izin veriyor.”
gelen sorulara cevaben günlük yudumTruffle Security’nin kurucu ortağı Dylan Ayrey, şirketinin Twitter hesabından gönderilen yorumları yineledi ve mahremiyet endişelerini yatıştırmaya çalışarak şunları ekledi: “Hiç kimsenin ham raporları çalışanlar tarafından görülmedi”.
Bu arada Colin Winhall, ısrar etti “bXss için şirket içi çözümler sağlamak ve kendi XSSHunter sürümlerini forklamak” için bug bounty platformları.
Paris merkezli platform YesWeHack, vurgulanmış kendi kendini barındıran bant dışı araçlar için kendi çözümü olan PwnMachine.
Bug bounty programları, kötü niyetli bilgisayar korsanlarını güçlendirebilecek hassas veri sızıntıları riski nedeniyle, üçüncü taraf platformlar tarafından barındırılan bilgisayar korsanlığı araçlarının kullanımını genellikle yasaklar, şu anda olduğu gibi AWS ile.
Gizlilik nedenleri
XSS Hunter, “Zorunlu” olarak da bilinen Bryant’ın uygulamayı artık sürdürmeyeceğini açıklamasından sonra geçen hafta yönetilen bir hizmet olarak yeniden canlandırıldı.
San Francisco merkezli Truffle Security’nin etki alanında barındırılan hizmetin yeni sürümü, orijinal kodun açık kaynaklı bir çatalıdır.
Bryant, kullanıcıların kendi eşgörünümlerini kendileri barındırabilecekleri xsshunter-express deposunun bakımını üstleniyor.
Görünüşe göre yeni XSS Hunter hizmetinde ve platform tarafından yakalanan ekran görüntülerinin bulanıklaştırılması gibi yeni özelliklerin geliştirilmesinde gizlilik endişeleri bir nedendi.
Ile konuşmak günlük yudum Yeniden başlatma hakkında daha önce, Truffle Security’den Ayrey, “birçok XSS Hunter kullanıcısının yanlışlıkla platforma hassas veriler göndereceğini” söylemişti. Ayrıca, kullanımdan kaldırma sonrasında, “farklı niyetlere sahip olabilecek operatörlerle değiştirmek için başka bir araç gelmiş olabilir” konusundaki endişesini dile getirdi. [to Mandatory] toplanan verilerle.
Ayrey, “Hem gizlilik endişelerini gidermek hem de siber güvenlik topluluğuna yeni yetenekler kazandırmak için bir fırsat gördük” diye ekledi.
Bryant söyledi günlük yudum “hizmette depolanan güvenlik açığı bilgilerinin miktarından giderek daha fazla rahatsız olduğunu” söyledi ve “Truffle Security, gizliliği ve böcek ödülü araştırma çıkarlarını dengelemeye bir gözle başlıyor” dedi.
ARKA PLAN Truffle Security, XSS Hunter aracını yeni özelliklerle yeniden başlattı