Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Al contrario di società note come ad esempi Apple, PayPal è leader nel saper sfruttare le prospettive uniche e preziose della comunità hacker e quindi a rafforzare la sua sicurezza informatica. Negli ultimi 8 anni, il programma su hackerone ha assegnato più di 6 milioni di dollari a circa 3.000 hacker etici che hanno contribuito al programma di bug bounty.
In PayPal, consideriamo i ricercatori di sicurezza un bene prezioso e mantengono un dialogo aperto con la comunità di HackerOne. Costruire relazioni con i ricercatori è sempre stata una priorità poiché queste relazioni non solo hanno migliorato il servizio, ma hanno anche umanizzato il programma di bug bounty.
Arrivare a questo punto non è per nulla un percorso facile, in quanto occorre essere consapevoli che la community hacker è un grande beneficio per una azienda, e questa consapevolezza avviane solo dopo anni ed esperienze nella cybersecurity e dopo una conoscenza approfondita del cybercrime, del mondo delle underground e della rivendita dei preziosi 0-day.
Essere aperti nel costruire solide relazioni con i ricercatori di sicurezza consente di ottenere grandi risultati. Essere ricettivi al feedback del programma, alle domande sugli ambiti, alle richieste di divulgazione, ecc., consentono a PayPal attraverso HackerOne di essere maggiormente produttiva e migliorare costantemente.
Alla fine, hackerone e i ricercatori, hanno tutti lo stesso obiettivo: rendere Internet e PayPal più sicuri.
Hackerone rimane attivamente coinvolto nelle discussioni per condividere le conoscenze con altri programmi di bug bounty. C’è sempre molto da imparare ed essere aperti a prospettive alternative aiuta a rendere il programma più forte e di maggior successo.
Hackerone ritiene di avere la responsabilità di condividere la metodologia e le conoscenze con l’industria in modo ampio e crede che più si riesce a condividere le informazioni, più forte diventa la sicurezza informatica. I team di sicurezza possono creare credibilità e fiducia con i ricercatori di sicurezza facendo loro capire perché l’ambito è strutturato in un certo modo o perché le vulnerabilità vengono premiate nel modo in cui sono.
ricercatori svolgono un ruolo importante nella costruzione di relazioni con i team di sicurezza con cui lavorano. I ricercatori che inviano rapporti ben scritti con prove dettagliate delle affermazioni e passaggi di riproduzione chiari si distinguono nel pacchetto.
@defparam e @ngalog si sono distinti per il team di sicurezza di PayPal per i loro rapporti dettagliati e lo spirito collaborativo. Le migliori presentazioni sono semplici; sostenere le affermazioni con prove e dimostrare l’impatto.
Rapporti ben scritti aiutano a ridurre le conversazioni avanti e indietro, consentono di passare rapidamente alle fasi di consolidamento e risoluzione in modo più rapido. Vengono molto apprezzati i ricercatori che sono disposti ad effettuare dei follow-up o che rispondono rapidamente alle richieste di ulteriori informazioni man mano che le analisi si sviluppano.
Hackerone ha riportato:
“Grazie a tutti i membri della community di HackerOne che partecipano al programma PayPal bug bounty. Siamo più sicuri grazie alla tua ricerca e collaborazione. “
Fonte
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Innovazione
Cybercrime
Vulnerabilità
Innovazione
Cyber Italia