Το προφίλ μας στο Google Plus
0

Προβλήματα ασφαλείας βρίσκει ερευνητής, μένει όμως απλήρωτος

Τα Bounty Programs περί προβλημάτων ασφαλείας ωφελούν τόσο τις εταιρείες όσο και τους ερευνητές — ή τουλάχιστον αυτό ισχύει στη θεωρία.

Σοβαρά προβλήματα ασφαλείας βρίσκει αναλυτής, αλλά μένει απλήρωτος | Photo credit: Ken Wolter / Shutterstock

Πληθώρα σοβαρών προβλημάτων ασφαλείας στο site προσφορών Groupon εντόπισε ο ερευνητής Brute Logic από το XSSposed.org και, όπως γίνεται στο πλαίσιο κάθε Bounty Program, ανέμενε την αμοιβή του. Όμως οι υπεύθυνοι του Groupon είχαν διαφορετική άποψη.

Συνολικά ο Brute Logic παρουσίασε περισσότερες από 30 αδυναμίες που αφορούσαν στο Groupon, η εταιρεία όμως μίλησε για παραβίαση της πολιτικής περί Responsible Disclosure και αρνήθηκε να πληρώσει.

Αναλυτικότερα, οι αδυναμίες που ανακάλυψε ο Brute Login ήταν όλες της κατηγορίας XSS (cross-site scripting) και ορισμένες από αυτές διευκόλυναν σημαντικά τον επιτιθέμενο.

Ο ερευνητής επικοινώνησε με τη Groupon στις 17 Απριλίου και αμέσως τον πληροφόρησαν πως θα διερευνήσουν το θέμα. Αργότερα, οι υπεύθυνοι ασφαλείας του site επιβεβαίωσαν ότι εντόπισαν το πρόβλημα. Σε ερώτηση του Brute Logic για το ύψος της αμοιβής, του εξήγησαν ότι υπολογίζεται κατά περίπτωση και πως όταν θα το γνωρίζουν θα τον ενημερώσουν σχετικά.

Ως συνεργάτης του XSSposed.org, ο Brute Logic επικοινώνησε και με τους υπευθύνους του site και μία αναφορά σε συγκεκριμένη αδυναμία του Groupon δημοσιεύτηκε στο XSSposed.org. Αν και το σχετικό post δεν έμεινε πολύ ώρα online, το γεγονός στάθηκε αρκετό για το Groupon προκειμένου να αρνηθεί την πληρωμή λόγω παραβίασης των όρων περί υπεύθυνης αποκάλυψης αδυναμιών ασφαλείας.

Αναμενόμενα, ο Brute Logic δεν ευχαριστήθηκε με την τροπή που πήραν τα πράγματα. Εξήγησε μάλιστα πως μία άλλη εταιρεία, η Sucuri Security, δεν απέφυγε να πληρώσει ακόμη και μετά από tweet που φανέρωνε κάποιες λεπτομέρειες σχετικές με πρόβλημα ασφαλείας του προϊόντος της.

Πηγή: BetaNews

Leave a Reply

You must be logged in to post a comment.

Σύνδεση

Αρχείο δημοσιεύσεων