Red Hot Cyber

Sicurezza informatica, cybercrime, hack
news, e altro ancora
  • English

Paypal è riuscita a creare una solida relazione con i ricercatori di bug.

Al contrario di società note come ad esempi Apple, PayPal è leader nel saper sfruttare le prospettive uniche e preziose della comunità hacker e quindi a rafforzare la sua sicurezza informatica. Negli ultimi 8 anni, il programma su hackerone ha assegnato più di 6 milioni di dollari a circa 3.000 hacker etici che hanno contribuito al programma di bug bounty.

In PayPal, consideriamo i ricercatori di sicurezza un bene prezioso e mantengono un dialogo aperto con la comunità di HackerOne. Costruire relazioni con i ricercatori è sempre stata una priorità poiché queste relazioni non solo hanno migliorato il servizio, ma hanno anche umanizzato il programma di bug bounty.

Arrivare a questo punto non è per nulla un percorso facile, in quanto occorre essere consapevoli che la community hacker è un grande beneficio per una azienda, e questa consapevolezza avviane solo dopo anni ed esperienze nella cybersecurity e dopo una conoscenza approfondita del cybercrime, del mondo delle underground e della rivendita dei preziosi 0-day.

Essere aperti nel costruire solide relazioni con i ricercatori di sicurezza consente di ottenere grandi risultati. Essere ricettivi al feedback del programma, alle domande sugli ambiti, alle richieste di divulgazione, ecc., consentono a PayPal attraverso HackerOne di essere maggiormente produttiva e migliorare costantemente.

Advertisements

Alla fine, hackerone e i ricercatori, hanno tutti lo stesso obiettivo: rendere Internet e PayPal più sicuri.

Hackerone rimane attivamente coinvolto nelle discussioni per condividere le conoscenze con altri programmi di bug bounty. C’è sempre molto da imparare ed essere aperti a prospettive alternative aiuta a rendere il programma più forte e di maggior successo.

Hackerone ritiene di avere la responsabilità di condividere la metodologia e le conoscenze con l’industria in modo ampio e crede che più si riesce a condividere le informazioni, più forte diventa la sicurezza informatica. I team di sicurezza possono creare credibilità e fiducia con i ricercatori di sicurezza facendo loro capire perché l’ambito è strutturato in un certo modo o perché le vulnerabilità vengono premiate nel modo in cui sono.

ricercatori svolgono un ruolo importante nella costruzione di relazioni con i team di sicurezza con cui lavorano. I ricercatori che inviano rapporti ben scritti con prove dettagliate delle affermazioni e passaggi di riproduzione chiari si distinguono nel pacchetto.

Advertisements

@defparam e @ngalog si sono distinti per il team di sicurezza di PayPal per i loro rapporti dettagliati e lo spirito collaborativo. Le migliori presentazioni sono semplici; sostenere le affermazioni con prove e dimostrare l’impatto.

Rapporti ben scritti aiutano a ridurre le conversazioni avanti e indietro, consentono di passare rapidamente alle fasi di consolidamento e risoluzione in modo più rapido. Vengono molto apprezzati i ricercatori che sono disposti ad effettuare dei follow-up o che rispondono rapidamente alle richieste di ulteriori informazioni man mano che le analisi si sviluppano.

Hackerone ha riportato:

“Grazie a tutti i membri della community di HackerOne che partecipano al programma PayPal bug bounty. Siamo più sicuri grazie alla tua ricerca e collaborazione. “

Fonte

Advertisements

https://www.hackerone.com/application-security/paypal-creating-strong-relationships-security-researchers