În ciuda celor mai bune eforturi ale unei organizații de a produce un serviciu care să funcționeze perfect și să fie sigur, bug-urile software pot apărea și apar, iar unele sunt mai grave decât altele.


Uneori, aceste bug-uri pot fi nedetectate chiar și de cele mai experimentate echipe de securitate, ceea ce poate duce la un produs care compromite securitatea digitală a utilizatorilor săi și le lasă expuse cyberattacks. Multe companii înființează programe de recompense pentru bug-uri pentru a alătura cercetătorii de securitate cibernetică pentru a-i ajuta să localizeze vulnerabilități care ar putea să nu fie detectate în sistemele lor.

În esență, cercetătorul se conectează (etic) în sistemul vânzătorului pentru a încerca să exploateze orice vulnerabilități care pot exista. Dacă cercetătorul descoperă o vulnerabilitate care prezintă un risc suficient de semnificativ, cercetătorul poate colecta o sumă de eroare în valoare de sute de dolari sau chiar sute de mii de dolari, în funcție de gravitatea erorilor descoperite. Vânătorii de recompense de eroare acționează adesea ca eroii negriși ai cibersecurității menținând organizațiile responsabile pentru asigurarea securității digitale a consumatorilor.

Ce se întâmplă, însă, când o organizație este în dezacord cu cercetătorul de securitate cibernetică cu privire la gravitatea unei vulnerabilități descoperite de cercetător? Ce se întâmplă atunci când o organizație încearcă să evite răspunderea, interzicând cercetătorului să dezvăluie public concluziile sale, sau acceptă doar să plătească o bonă de eroare cu condiția ca cercetătorul să rămână în tăcere public cu privire la o vulnerabilitate? Când se întâmplă acest lucru, securitatea digitală și confidențialitatea personală a consumatorilor pot fi periclitate serios.

Programele de recompense pentru erori sunt esențiale pentru păstrarea sistemelor care rulează software-ul și aplicațiile pe care consumatorii le folosesc în fiecare zi în siguranță și funcționează corect. Acestea stimulează cercetătorii în domeniul securității cibernetice și hackerii etici pentru a se prezenta și pentru a găsi vulnerabilități. Este de acord că solicitarea vânătorilor de recompense pentru bug-uri să semneze un acord de non-divulgare (NDA) este, de asemenea, un mod important și eficient de a preveni expunerea publică și exploatarea potențialelor vulnerabilități potențial grave înainte de a fi patchate..

Acestea fiind spuse, dispozițiile NDA care împiedică un cercetător să dezvăluie public vreo vulnerabilitate ar putea, de exemplu, să ofere o mică stimulare pentru o companie să abordeze corect defectul, lăsând utilizatorii expuși la diverse cyberthreats.

Cercetătorii de securitate și vânătorii de recompense pentru bug-uri fac o treabă minunată de a răspunde companiilor pentru păstrarea în siguranță a utilizatorilor lor. Dar, atunci când companiile se angajează în tactici NDA discutabile cu cercetătorii de securitate pentru a reduce această responsabilitate, securitatea utilizatorilor poate fi pusă în pericol substanțial.

Având în vedere valul recent de încălcări de date cu profil înalt și supravegheri majore de securitate care implică unele dintre cele mai mari nume din domeniul tehnologiei, publicul merită responsabilitate mult mai mare din partea companiilor cărora le sunt încredințate informațiile. Parlamentarii de pe tot globul au început să se prăbușească în industrie și au elaborat o legislație care are drept scop protejarea consumatorilor în timp ce companiile tehnologice răspund pentru modul în care gestionează datele sensibile. Cei mai buni directori din industrie, precum Mark Zuckerberg, Bill Gates, Microsoft și Tim Cook, au recunoscut necesitatea unei mai bune protecții a confidențialității consumatorilor, precum și un sentiment mai mare de responsabilitate pentru companii. În același timp, consumatorii au devenit tot mai neîncrezători în ceea ce privește modul în care companiile își gestionează datele private.

Având în vedere această tendință, manipularea Zoom a dezvăluirii responsabile a unui cercetător în domeniul securității cibernetice a mai multor vulnerabilități grave în aplicația sa de conferință video este deranjantă. În martie, cercetătorul în domeniul securității cibernetice Jonathan Leitschuh a luat legătura cu Zoom pentru a notifica compania trei vulnerabilități majore de securitate existente în aplicația sa de videoconferință pentru computere Mac. Pe lângă un bug care a permis unui atacator rău intenționat să lanseze un atac de refuz de serviciu (DOS) pe mașina unui utilizator și o eroare care a lăsat un server web local instalat pe Mac-ul utilizatorului chiar și după dezinstalarea aplicației Zoom, Leitschuh a mai descoperit un vulnerabilitate grav alarmantă care a permis unei entități terțe dăunătoare să activeze de la distanță și să activeze automat microfonul și camera unui utilizator Mac nesuperit.

Conform postului lui Leitschuh, Zoom a redus continuu gravitatea vulnerabilităților în timpul discuțiilor în curs. Leitschuh a oferit Zoom o fereastră standard de 90 de zile în domeniu, în care să rezolve problemele înainte de a continua cu dezvăluirea publică. El a furnizat chiar Zoom ceea ce el a numit o soluție de „rezolvare rapidă” pentru a remedia temporar vulnerabilitatea camerei, în timp ce compania a terminat lucrul la rularea soluției permanente. În cadrul unei reuniuni anterioare termenului de expunere publică de 90 de zile, Zoom i-a prezentat lui Leitschuh soluția propusă. Cu toate acestea, cercetătorul a subliniat rapid că soluția propusă a fost inadecvată și poate fi ușor ocolită prin diferite mijloace.

La sfârșitul termenului de expunere publică de 90 de zile, Zoom a implementat soluția temporară de „soluționare rapidă”. Leitschuh a scris în postarea sa pe blog:

"În cele din urmă, Zoom a eșuat la confirmarea rapidă a faptului că vulnerabilitatea raportată a existat și nu a reușit să rezolve problema emisă clienților în timp util. O organizație a acestui profil și cu o bază de utilizatori atât de mare ar fi trebuit să fie mai proactivă în protejarea utilizatorilor lor împotriva atacurilor."

În răspunsul inițial la dezvăluirea publică pe blogul companiei, Zoom a refuzat să recunoască gravitatea vulnerabilității videoclipului și „în final ... a decis să nu modifice funcționalitatea aplicației”. Deși (numai după ce a primit o reacție publică semnificativă în urma dezvăluirii) Zoom a fost de acord să înlăture complet serverul web local care a făcut posibilă exploatarea, răspunsul inițial al companiei împreună cu conturile lui Leitschuh despre modul în care Zoom a ales să abordeze divulgarea responsabilă dezvăluie că Zoom nu a luat problema în serios și că are puțin interes în rezolvarea corectă aceasta.

Păstrați liniștea

Zoom a încercat să cumpere tăcerea lui Leitschuh cu privire la această problemă, permițându-i să beneficieze de programul de recompense pentru bug-uri al companiei numai cu condiția ca acesta să semneze un NDA excesiv de strict. Leitschuh a refuzat oferta. Zoom a susținut că cercetătorului i s-a oferit o sumă financiară, dar a refuzat-o din cauza „termenilor care nu sunt dezvăluiți”. Ceea ce Zoom a neglijat este de menționat este faptul că termenii specifici înseamnă că Leitschuh ar fi fost interzis să dezvăluie vulnerabilitățile chiar și după ce au fost corecți corect. Acest lucru ar fi oferit Zoom stimulent zero pentru a remedia o vulnerabilitate pe care compania a respins-o ca fiind nesemnificativă.

ADN-urile sunt o practică obișnuită în programele de recompensare a erorilor, dar solicitarea de reculegere permanentă a cercetătorului este asemănătoare cu a plăti bani strânși și, în final, nu beneficiază cercetătorul și nici nu beneficiază utilizatorii sau publicul în general. Rolul NDA ar trebui să fie acela de a oferi companiei o perioadă de timp rezonabilă pentru a aborda și repara o vulnerabilitate înainte ca aceasta să fie expusă publicului și potențial exploatată de cibernetici. Companiile au o așteptare rezonabilă de a nu divulga în timp ce lucrează pentru a remedia o vulnerabilitate, dar în primul rând pentru beneficiul utilizatorului, nu în primul rând pentru a salva fața în curtea opiniei publice. Cercetătorii, pe de altă parte, au o așteptare rezonabilă pentru o recompensă monetară, precum și pentru recunoașterea publicului pentru eforturile depuse. Utilizatorii au o așteptare rezonabilă ca companiile ale căror produse le folosesc să facă tot posibilul pentru a-și asigura confidențialitatea. În cele din urmă, publicul are un drept rezonabil să știe ce vulnerabilități de securitate există și ce se face pentru a proteja consumatorii împotriva amenințărilor cibernetice și ce pot face consumatorii pentru a se proteja.

Priorități conflictuale

Ar fi fost dificil pentru Zoom să gestioneze această situație mai rău decât o făcuse. Compania a fost atât de concentrată pe crearea unei experiențe de utilizator fără probleme, încât a pierdut complet din vedere importanța critică a protejării confidențialității utilizatorului. „Videoclipul este esențial pentru experiența Zoom. Platforma noastră video primară este un beneficiu esențial pentru utilizatorii noștri din întreaga lume, iar clienții noștri ne-au spus că aleg Zoom pentru experiența noastră de comunicații video fără frecare ”, a declarat compania în răspunsul său. Dar Zoom a recurs la instalarea unui server web local în fundal pe computerele Mac, care a ocolit în mod eficient o caracteristică de securitate din browserul web Safari pentru a facilita această experiență video „fără fricțiune” pentru utilizatorii săi. Funcția de securitate Safari în cauză a necesitat confirmarea utilizatorului înainte de lansarea aplicației pe un Mac. Soluția Zoom în acest sens a fost să o ocoliți în mod deliberat și să puneți riscul confidențialității utilizatorilor săi pentru a le salva un clic sau două.

Numai după reacția publică pe care a primit-o în urma dezvăluirii, compania a luat măsuri semnificative. Răspunsul inițial al companiei a sugerat că nu avea intenția de a schimba funcționalitatea aplicației chiar și în lumina vulnerabilităților semnificative pe care le suporta aplicația. Se pare că compania a fost dispusă să acorde prioritate experienței utilizatorului asupra securității utilizatorilor. Deși experiența utilizatorului fără probleme este benefică fără îndoială pentru orice aplicație online, cu siguranță nu ar trebui să vină în detrimentul securității și confidențialității.

După creditul companiei, cofondatorul și CEO Eric S. Yuan a recunoscut ulterior că Zoom a gestionat situația prost și s-a angajat să facă mai bine înainte. Yuan a declarat într-o postare pe blog că „am judecat greșit situația și nu am răspuns suficient de repede - și asta este asupra noastră. Ne asumăm integral și am învățat foarte mult. Ceea ce pot să vă spun este că ne luăm incredibil de în serios securitatea utilizatorului și ne-am angajat din tot sufletul să facem bine de către utilizatorii noștri ”, adăugând de asemenea că„ procesul nostru actual de escaladare nu a fost suficient de bun în această situație. Am luat măsuri pentru a îmbunătăți procesul nostru de primire, escaladare și închidere a buclei pentru toate problemele viitoare legate de securitate. "

"am judecat greșit situația și nu am răspuns suficient de repede - și asta este asupra noastră.

În cele din urmă, însă, rămâne realitatea care a fost că cercetătorul a fost de acord cu termenii NDA care i-a fost prezentat de Zoom și cărora li s-a interzis să dezvăluie concluziile sale, am putea fi foarte probabil să nu auzim nimic despre vulnerabilitate. Mai rău încă, compania ar fi putut probabil să nu rezolve niciodată problema, lăsând milioane de utilizatori vulnerabili la o invazie gravă a vieții private.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me