Nepaisant organizacijos pastangų sukurti nepriekaištingai veikiančią ir saugią paslaugą, programinės įrangos klaidų gali ir pasitaikyti, o kai kurios yra rimtesnės nei kitos.


Kartais šių klaidų gali nepastebėti net labiausiai patyrusios saugos komandos, galinčios sukelti produktą, kuris pakenkia jo vartotojų skaitmeninei saugai ir leidžia jiems susidurti su kibernetinėmis išpuoliais. Daugelis kompanijų yra sukūrusios nepatogumų šalinimo programas, kad pasamdytų kibernetinio saugumo tyrinėtojus ir padėtų jiems aptikti pažeidžiamumus, kurie jų sistemose gali paslėpti.

Iš esmės tyrėjas įsilaužė (etiniu požiūriu) į pardavėjo sistemą, kad bandytų išnaudoti visas galimas spragas. Jei tyrėjas aptinka pažeidžiamumą, kuris kelia pakankamai didelę riziką, tyrėjas gali surinkti klaidų palaimą, kurios vertė yra šimtai dolerių ar net šimtai tūkstančių dolerių, atsižvelgiant į aptiktos klaidos sunkumą. Klaidų gaudesio medžiotojai dažnai elgiasi kaip neskelbiami kibernetinio saugumo herojai, atsakingi už tai, kad užtikrintų vartotojų skaitmeninį saugumą..

Tačiau kas nutinka, kai organizacija nesutaria su kibernetinio saugumo tyrėju dėl tyrėjo atskleisto pažeidžiamumo laipsnio? Kas nutinka, kai organizacija bando išvengti atskaitomybės, uždrausdama tyrėjui viešai skelbti savo išvadas, arba sutinka sumokėti klaidą, jei tyrėjas viešai tyli apie pažeidžiamumą? Tokiu atveju gali būti rimtas pavojus vartotojų skaitmeniniam saugumui ir asmens privatumui.

Trikdžių programos yra būtinos norint užtikrinti, kad sistemos, kuriose veikia programinė įranga ir programos, kurias vartotojai naudoja kiekvieną dieną, būtų saugios ir tinkamai veiktų. Jie skatina kibernetinio saugumo tyrinėtojus ir etinius įsilaužėlius pranešti apie pažeidžiamumą. Akivaizdu, kad reikalavimas, kad klaidų turintieji medžiotojai pasirašytų neatskleidimo susitarimą (NDA), taip pat yra svarbus ir veiksmingas būdas užkirsti kelią galimam rimtam pažeidžiamumui viešai atskleisti ir išnaudoti prieš juos pataisant..

Nepaisant to, NDA nuostatos, neleidžiančios tyrinėtojams kada nors viešai atskleisti pažeidžiamumo, pavyzdžiui, galėtų suteikti mažai paskatų įmonei tinkamai pašalinti kaltę, o vartotojus paveikti įvairiomis kibernetinėmis grėsmėmis.

Saugumo tyrinėtojai ir nesėkmių medžiotojai daro didelį darbą, kad įmonės būtų atsakingos už tai, kad jų vartotojai būtų saugūs. Bet kai kompanijos imsis abejotinos NDA taktikos kartu su saugumo tyrinėtojais, norėdamos paslėpti šią atskaitomybę, vartotojų saugumui gali iškilti didelė rizika.

Atsižvelgiant į pastaruoju metu vykstančius didelio masto duomenų pažeidimus ir didelę saugumo priežiūrą, apimančią keletą didžiausių technologijų vardų, visuomenė nusipelno daug didesnės atskaitomybės iš įmonių, kurioms patikėta jų informacija. Visame pasaulyje įstatymų leidėjai pradėjo kovoti su šia pramonės šaka ir rengė teisės aktų projektus, kuriais siekiama apsaugoti vartotojus, tuo pačiu laikant technologijų įmones atsakingomis už tai, kaip jos tvarko neskelbtinus duomenis. Aukščiausi pramonės vadovai, tokie kaip „Facebook“ atstovas Markas Zuckerbergas, „Microsoft“ Billas Gatesas ir „Apple“ Tim Cook, visi pripažino, kad reikia geresnės vartotojų privatumo apsaugos ir didesnės įmonių atskaitomybės. Tuo pačiu metu vartotojai vis labiau jaučia nepasitikėjimą tuo, kaip įmonės tvarko jų asmeninius duomenis.

Atsižvelgiant į šią tendenciją, „Zoom“ elgesys su atsakingais kibernetinio saugumo tyrinėtojais atskleidė keletą rimtų vaizdo konferencijų programos pažeidžiamumų. Kovo mėn. Kibernetinio saugumo tyrinėtojas Jonathanas Leitschuhas susisiekė su „Zoom“, kad praneštų bendrovei apie tris svarbiausius saugos pažeidimus, egzistuojančius jos vaizdo konferencijų programoje, skirtoje „Mac“ kompiuteriams. Be klaidos, leidusios kenkėjiškam užpuolikui paleisti vartotojo kompiuterio paslaugų teikimo atsisakymo (DOS) ataką, ir klaidos, kuri paliko vietinį žiniatinklio serverį, įdiegtą vartotojo „Mac“, net pašalinus „Zoom“ programą, „Leitschuh“ taip pat atidengė labai nerimą keliantis pažeidžiamumas, leidęs kenkėjiškam trečiosios šalies subjektui nuotoliniu būdu ir automatiškai įjungti nieko neįtariantį „Mac“ vartotojo mikrofoną ir kamerą.

Anot Leitschuh dienoraščio įrašo, „Zoom“ vykstančių derybų metu nuolat sumažino pažeidžiamumo laipsnį. Leitschuh suteikė „Zoom“ standartinį 90 dienų periodą, kuriame, prieš pradėdamas viešą atskleidimą, turėjo išspręsti problemas. Jis netgi pateikė „Zoom“ vadinamą „greito pataisymo“ sprendimą, kad laikinai ištaisytų fotoaparato pažeidžiamumą, kol įmonė baigė darbą dėl nuolatinio taisymo. Susitikime iki 90 dienų viešo paskelbimo termino „Zoom“ pristatė „Leitschuh“ pasiūlytą pataisą. Tačiau tyrėjas greitai atkreipė dėmesį, kad siūlomas sprendimas buvo netinkamas ir jį buvo galima lengvai apeiti įvairiomis priemonėmis.

Pasibaigus 90 dienų viešojo paskelbimo terminui, „Zoom“ įgyvendino laikiną „greito pataisymo“ sprendimą. Leitschuh savo tinklaraščio įraše rašė:

"Galiausiai „Zoom“ nepavyko greitai patvirtinti, kad pažeidžiamas pažeidimas, apie kurį pranešta, ir jie nesugebėjo laiku išspręsti klientams pateiktos problemos. Šio profilio organizacija ir turinti tokią didelę vartotojų bazę turėjo būti aktyvesnė, saugant savo vartotojus nuo užpuolimo."

Pradiniame atsakyme apie viešą informacijos atskleidimą įmonės tinklaraštyje „Zoom“ atsisakė pripažinti vaizdo įrašų pažeidžiamumą ir „galiausiai ... nusprendė nekeisti programos funkcionalumo.“ Nors (tik po to, kai po atskleidimo buvo gautas reikšmingas viešas atsakas) „Zoom“ sutiko visiškai pašalinti vietinį žiniatinklio serverį, kuris sudarė galimybę išnaudoti, bendrovės pirminis atsakymas kartu su „Leitschuh“ ataskaitomis apie tai, kaip „Zoom“ pasirinko atsakingai atskleisti informaciją, rodo, kad „Zoom“ į šią problemą nežiūrėjo rimtai ir mažai domėjosi, kaip tinkamai išspręsti. tai.

Būti tyliai

„Zoom“ bandė nusipirkti Leitschuh nutylėjimą šiuo klausimu, leisdamas jam pasinaudoti bendrovės klaidų pašalinimo programa tik su sąlyga, kad jis pasirašys pernelyg griežtą NDA. Leitschuh atsisakė pasiūlymo. „Zoom“ tvirtino, kad tyrėjui buvo pasiūlyta finansinė laida, tačiau ji to nepadarė dėl „neatskleidimo sąlygų“. „Zoom“ nepamiršo paminėti, kad konkretūs terminai, reiškę Leitschuh, būtų buvę uždrausti atskleisti pažeidžiamumus, net jei jie bus tinkamai pataisyti. Tai būtų suteikę „Zoom zero“ paskatą pataisyti pažeidžiamumą, kurį bendrovė atmetė kaip nereikšmingą.

NDA yra įprasta klaidų šalinimo programų praktika, tačiau reikalaudami nuolatinio tylėjimo iš tyrėjo, tai reiškia, kad reikia mokėti didelius pinigus, ir galiausiai tai neduoda naudos tyrėjui, nenaudinga vartotojams ar visuomenei apskritai. NDA vaidmuo turėtų būti toks, kad įmonei būtų suteikta pakankamai laiko pašalinti ir pašalinti pažeidžiamumą, kol ji bus paviešinta visuomenei ir galėtų būti išnaudota elektroninių nusikaltėlių. Bendrovės pagrįstai tikisi neatskleisti dirbdamos siekdamos ištaisyti pažeidžiamumą, tačiau pirmiausia naudingos vartotojui, o ne pirmiausia siekdamos išsaugoti veidą viešosios nuomonės teisme. Kita vertus, tyrėjai pagrįstai tikisi piniginio atlygio, taip pat viešo pripažinimo už jų pastangas. Vartotojai pagrįstai tikisi, kad įmonės, kurių gaminius jie naudoja, daro viską, ką gali, kad užtikrintų jų privatumą. Galiausiai, visuomenė turi pagrįstą teisę žinoti, kokie saugumo pažeidžiamumai egzistuoja ir kas daroma siekiant apsaugoti vartotojus nuo kibernetinių grėsmių ir ką vartotojai gali padaryti, kad apsisaugotų..

Prieštaringi prioritetai

„Zoom“ būtų buvę sunku susitvarkyti su šia situacija blogiau nei ji. Bendrovė buvo taip susikoncentravusi į vientisos vartotojo patirties kūrimą, kad visiškai pamiršo kritinę vartotojo privatumo apsaugos svarbą. „Vaizdo įrašas yra labai svarbus norint padidinti mastelį. Mūsų pirmoji vaizdo platforma yra pagrindinis privalumas mūsų vartotojams visame pasaulyje, o mūsų klientai mums pasakė, kad jie pasirenka „Zoom“, kad mūsų vaizdo ryšių patirtis būtų nepriekaištinga “, - teigiama bendrovės atsakyme. Tačiau „Zoom“ ėmėsi diegti vietinį interneto serverį fone „Mac“ kompiuteriuose, kurie efektyviai aplenkė „Safari“ žiniatinklio naršyklės saugos funkciją, kad palengvintų šią „trintį“ vaizdo patirtį vartotojams. Aptariant „Safari“ saugos funkciją, prieš paleidžiant programą „Mac“, reikėjo vartotojo patvirtinimo. „Zoom“ sprendimas buvo tai sąmoningai apeiti ir kelti pavojų vartotojų privatumui, kad būtų išsaugotas vienas ar du paspaudimai..

Bendrovė ėmėsi reikšmingų veiksmų tik po viešo atsakymo, kurį ji gavo po atskleidimo. Pradiniame bendrovės atsakyme buvo teigiama, kad ji neketino keisti programos funkcionalumo, net atsižvelgiant į didelius programos pažeidžiamumus. Panašu, kad įmonė norėjo teikti pirmenybę vartotojo patirčiai, o ne vartotojo saugumui. Nors sklandi vartotojo patirtis neabejotinai naudinga bet kuriai internetinei programai, ji tikrai neturėtų būti daroma saugumo ir privatumo sąskaita.

Kompanijos įkūrėjas ir generalinis direktorius Erikas S. Yuanas vėliau pripažino, kad bendrovės „Zoom“ padėtis blogai elgiasi ir įsipareigojo geriau elgtis toliau. Yuan dienoraščio įraše teigė, kad „mes neteisingai įvertinome situaciją ir nepakankamai greitai reagavome - ir tai mus. Mes prisiimame atsakomybę ir išmokome daug. Aš galiu jums pasakyti, kad mes neįtikėtinai rimtai žiūrime į vartotojų saugumą ir esame nuoširdžiai įsipareigoję savo vartotojams elgtis teisingai “, ir taip pat pridūrė, kad„ mūsų dabartinis eskalavimo procesas akivaizdžiai nebuvo pakankamai geras. Mes ėmėmės veiksmų tobulindami visų būsimų su saugumu susijusių problemų priėmimo, išplėtimo ir uždarymo procesą. “

"mes neteisingai įvertinome situaciją ir nepakankamai greitai reagavome - ir tai mus.

Galų gale, nors tyrėjas sutiko su „Zoom“ jam pateiktomis NDA sąlygomis ir jam buvo uždrausta atskleisti savo išvadas, labai tikėtina, kad mes niekada nieko negirdėjome apie pažeidžiamumą. Dar blogiau, kad įmonė greičiausiai niekada neišsprendė problemos, palikdama milijonus vartotojų pažeidžiamus rimto privatumo pažeidimo.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me