Упркос најбољим напорима организације да произведе услугу која ради беспрекорно и сигурно је, софтверске грешке се могу и догоде, а неке су озбиљније од других.


Понекад ове искусне безбедносне екипе могу неприметно открити ове грешке, што потенцијално резултира производом који компромитује дигиталну сигурност корисника и оставља их изложеним цибератима. Многе компаније постављају програме за обруке грешака како би привукле истраживаче кибернетичке сигурности како би им помогле да пронађу рањивости које могу скривати неоткривене у њиховим системима.

У основи, истраживач хакује (етично) у систем добављача како би покушао да искористи све рањивости које могу постојати. Ако истраживач открије рањивост која представља довољно значајан ризик, истраживач може да сакупи гомилу штета у вредности стотина долара или чак стотина хиљада долара, у зависности од озбиљности откривене грешке. Ловци на бунтове често се понашају као неиспричани хероји цибер-безбедности и држе организације одговорним за обезбеђивање дигиталне сигурности потрошача..

Шта се, пак, дешава када се организација не слаже са истраживачем кибернетичке сигурности због озбиљности рањивости коју је истраживач открио? Шта се догађа када организација покуша да избегне одговорност тако што забрани истраживачу да јавно износи своје налазе или само пристане да плати штету под условом да истраживач остане јавно нијем о рањивости? Када се то догоди, дигитална сигурност и лична приватност потрошача могу бити озбиљно угрожени.

Програми за прављење бугова кључни су за одржавање система који покрећу софтвер и апликације које потрошачи свакодневно користе и раде исправно. Они подстичу истраживаче кибернетичке сигурности и етичке хакере да представе и пронађу рањивости. Разумно је да је захтевање ловаца на бугове да потпишу споразум о неоткривању података (НДА) такође важан и ефикасан начин да се спрече да се потенцијално озбиљне рањивости изложе јавности и искористе пре него што се закрпе..

Уз то, НДА одредбе које спречавају истраживача да јавно открива рањивост могу, на пример, пружити мали подстицај компанији да правилно реши грешку, остављајући кориснике изложене различитим цибертхреатреат.

Сигурносни истраживачи и ловци на бунде раде сјајан посао држећи компаније одговорним за заштиту својих корисника. Али када се компаније укључе у упитне тактике НДА-е са истраживачима безбедности како би савладали ту одговорност, безбедност корисника може бити изложена знатном ризику.

У светлу недавног таласа кршења високих података и већих сигурносних увида који укључују нека од највећих технолошких имена, јавност заслужује много већу одговорност од компанија којима поверују своје податке. Законодавци широм света започели су кршење индустрије и припремали су законодавство које има за циљ да заштити потрошаче док технолошке компаније сматрају одговорним за поступање са осетљивим подацима. Врхунски руководиоци у индустрији, попут Фацебоока Марка Зуцкерберга, Мицрософтовог Била Гатеса и Аппле-овог Тима Кука, препознали су потребу за бољом заштитом приватности потрошача као и већим осећајем одговорности за компаније. Истовремено, потрошачи постају све неповјерљивији према начину на који компаније управљају приватним подацима.

Узимајући у обзир овај тренд, Зоомово поступање истраживача кибернетичке сигурности одговорно је откривање неколико озбиљних рањивости у својој апликацији за видео конференције. У марту је истраживач кибернетичке сигурности Јонатхан Леитсцхух контактирао Зоом како би обавестио компанију о три велике безбедносне рањивости које постоје у оквиру његове апликације за видео конференције за Мац рачунаре. Поред грешке која је дозволила злонамерном нападачу да изврши напад за ускраћивање услуге (ДОС) на машини корисника и грешку која је оставила локални веб сервер инсталиран на Мац рачунару чак и након деинсталације апликације Зоом, Леитсцхух је такође открио озбиљна алармантна рањивост која је омогућила малициозном ентитету треће стране да на даљину и аутоматски омогући микрофон и камеру неосумњивог корисника корисника.

Према Леитсцхуховом посту на блогу, Зоом је континуирано умањивао озбиљност рањивости током текућих разговора. Леитсцхух је Зоому дао индустријски стандардни 90-дневни прозор за решавање проблема пре него што је наставио са јавним обелодањивањем. Чак је пружио Зоом-у оно што је назвао "брзим поправком" решењем да привремено закрпи рањивост фотоапарата, док је компанија завршила посао на увођењу сталног поправка. Током састанка пре 90-дневног рока за јавно објављивање, Зоом је представио Леитсцхух са својим предложеним поправком. Међутим, истраживач је брзо истакао да је предложено решење неадекватно и да га је могуће лако заобићи разним средствима.

На крају 90-дневног рока за јавно објављивање, Зоом је применио привремено решење за „брзо поправљање“. Леитсцхух је у свом посту на блогу написао:

"Коначно, Зоом није успео да брзо потврди да пријављена рањивост заиста постоји и да нису успели да на време исправе проблем који је купцима достављен. Организација овог профила и са тако великом корисничком базом требала је бити активнија у заштити својих корисника од напада."

У свом почетном одговору на јавно објављивање на блогу компаније, Зоом је одбио да призна тежину рањивости видео записа и „у коначници ... одлучио је да не мења функционалност апликације.“ Иако (само након што је након откривања добио значајне јавне реакције у јавности) Зоом је пристао да у потпуности уклони локални веб сервер који је омогућио искориштавање, првобитни одговор компаније, заједно са Леитсцхуховим извештајима о томе како је Зоом изабрао да се позабави одговорним откривањем, открива да Зоом није озбиљно схватио проблем и мало је интересовао за правилно решавање. то.

Ћутати

Зоом је покушао да купи Леитсцхухово ћутање о том питању тако што му је дозволио да користи програм компаније за бугове компаније само под условом да је потписао претерано строгу НДА. Леитсцхух је одбио понуду. Зоом је тврдио да је истраживачу понуђена финансијска добит, али је одбио због „услова необјављивања“. Оно што је Зоом занемарило споменути је да би посебним терминима који значе Леитсцхуху било забрањено откривање рањивости чак и након што су правилно закрпљени. То би Зоом зеро подстицају да закрпи рањивост коју је компанија одбацила као безначајну.

НДА-ови су уобичајена пракса у програмима обилних бугова, али захтевање трајне тишине од истраживача је слично плаћању новца и у коначници не користи истраживачу, нити користи корисницима или јавности уопште. Улога НДА-е треба да буде да компанији пружи довољно времена за решавање и утврђивање рањивости пре него што је изложена јавности и потенцијално искоришћена од стране цибер-криминалаца. Компаније оправдано очекују необјављивање док раде на поправљању рањивости, али првенствено у корист корисника, а не пре свега ради очувања лица пред судом јавног мишљења. Са друге стране, истраживачи разумно очекују новчану награду као и јавно признање за свој труд. Корисници разумно очекују да компаније чији производи користе раде све што могу како би осигурали своју приватност. Коначно, јавност има разумно право да зна које сигурносне рањивости постоје и шта се ради да би се потрошачи заштитили од сајбер претњи и шта потрошачи могу да ураде да би се заштитили.

Сукобни приоритети

Зоом би био тежак рјешавати ову ситуацију горе него што је то чинио. Компанија је била толико фокусирана на стварање беспрекорног корисничког искуства да је потпуно изгубила из вида критичну важност заштите приватности корисника. „Видео је у средишту искуства зумирања. Наша видео-прва платформа је кључна корист за наше кориснике широм света, а купци су нам рекли да су изабрали Зоом за наше искуство видео комуникације без трења “, навела је компанија у свом одговору. Али Зоом је прибегао инсталирању локалног веб сервера у позадини на Мац рачунарима који су ефикасно заобишли безбедносну функцију у веб претраживачу Сафари како би својим корисницима олакшали ово „без трења“ видео искуство. Дотична безбедносна функција Сафари захтевала је потврду корисника пре покретања апликације на Мацу. Решење Зоом-овог решења било је да га намерно заобиђу и угрозе приватност корисника како би им сачували клик или два.

Тек након јавне реакције коју је добила након објављивања, компанија је предузела смислене акције. Почетни одговор компаније сугерисао је да нема намеру да мења функционалност апликације чак ни у светлу значајних рањивости које је апликација имала. Изгледа да је компанија била вољна да приоритет даје искуству корисника над безбедношћу корисника. Иако је несметано корисничко искуство без сумње корисно за било коју онлине апликацију, то свакако не би требало доћи на штету сигурности и приватности.

По заслузи компаније, суоснивач и извршни директор Ериц С. Иуан касније је признао да је Зоом лоше поступао са ситуацијом и обавезао се да ће ићи напријед. Иуан је у посту на блогу изјавио да „смо погрешно процијенили ситуацију и нисмо одговорили довољно брзо - и то је на нама. Ми преузимамо потпуно власништво и много смо научили. Оно што вам могу рећи је да безбедност корисника схватамо невероватно озбиљно и од срца се обавезамо да ће наши корисници поступати исправно ", додајући такође да" наш тренутни процес ескалације очито није био довољно добар у овом случају. Предузели смо кораке да побољшамо наш процес за пријем, ескалацију и затварање петље о свим будућим питањима везаним за безбедност. “

"погрешно смо проценили ситуацију и нисмо одговорили довољно брзо - и то је на нама.

На крају, ипак, остаје стварност да је истраживач пристао на услове НДА који му је представио Зоом и ако му је било забрањено да износи његове налазе, вероватно никада нисмо чули ништа о рањивости. Што је још горе, компанија вероватно никада неће решити проблем, остављајући милионе корисника рањивим на озбиљну инвазију на приватност.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me