Szukanie luk w zabezpieczeniach popularnego oprogramowania może być całkiem opłacalne. Obecnie nie tylko zasobni giganci prowadzą programy, w których nagradza się „dobrych hakerów”, potrafiących wskazać niedociągnięcia w kodzie systemów czy aplikacji. Na podobny krok zdecydowało się Allegro.
Allegro ruszyło z własnym programem Bug Bounty, w którym za odnalezione w serwisie błędy będzie można zyskać pieniężne honorarium. I nie chodzi o błędy typu „zbyt wysokie prowizje za sprzedaż”, a o przypadki niedociągnięć w zakresie bezpieczeństwa, które ktoś mógłby wykorzystać przeciwko innym użytkownikom lub samemu serwisowi. Zespół ds. Bezpieczeństwa w Allegro będzie analizował napływające zgłoszenia, i o ile będą zgodne z wytycznymi programu, życzliwy znalazca może otrzymać nawet 3000 dolarów nagrody. Pomniejsze niedoróbki będą nagradzane minimum 200 dolarami, o ile nie będą znajdować się na liście drobiazgów niezałapujacych się do analizy.
Scenariusze błędów można testować w bezpiecznym środowisku sandboxowym (dostępnym o, tutaj). Próby testów w głównym serwisie mogą zakończyć się zablokowaniem konta w Allegro. Jeśli koś wykaże się wytrwałością i zasłuży sobie na nagrody, może być wzięty pod uwagę przy stałej współpracy na platformie HackerOne.
Bądź pozytywnym wojownikiem
Allegro ostrzega, by do wyszukiwania błędów nie używać zautomatyzowanych programów. Tego typu zagrywki będą od razu zauważone. Jeśli działanie takich systemów miałoby negatywny wpływ na jakikolwiek element platformy, Allegro może podjąć kroki w celu zablokowania adresu IP osoby używającej takich narzędzi, i to bez uprzedniego ostrzeżenia. Jeśli ktoś byłby na tyle wytrwały, by nadal podejmować zabronione działania w Allegro, jego konto zostanie zablokowane, a w skrajnych przypadkach wobec takiej osoby podjęte zostaną czynności prawne. Także wyszukiwanie błędów w Allegro jest opłacalne, ale używanie do tego automatycznych systemów – już mniej.
Od uruchomienia programu udało się już rozwiązać dwa problemy, za odnalezienie których zapłacono zgłaszającym w sumie 720 dolarów.
Szukanie luk w macOS stanie się opłacalne? Apple ma uruchomić program nagród
źródło: HackerOne dzięki Spider’s Web