研究人员,组织和错误披露平台都可以进行改进以帮助保护用户数据
Bug Bounty程序可能是分层安全方法的有用组成部分,但是敦促利益相关者在整个披露过程中对其数据处理实践保持严格的控制,以避免创建自己的数据泄漏。
在黑帽子美国昨天(8月11日),代表们被告知,整个Bounty市场的研究监督和伪劣的数据治理原则如何导致用户的个人身份信息泄漏。而且,此数据通常在关闭相应的机票后很长时间仍然可用。
推荐的黑帽美国:故意脆弱的云基础架构是笔测试仪的Playground
Truffle Security的首席执行官Dylan Ayrey在一个有趣的演讲中(背后的公司Trufflehog)和软件公司Asana的数据保护官兼首席隐私顾问Whitney Merrill仔细研究了Bounty披露过程的潜在陷阱 - 从研究人员开始。
艾里(Ayrey)引用了现实世界中的例子,虽然许多错误赏金程序禁止研究人员访问用户数据,但确实会发生这种情况。例如,盲人跨站脚本((XSS)利用可能会触发管理员端点,从而导致整个用户数据库的转储。
从错误赏金中收集的数据最终可以存储在各种系统中
然后可以将此用户数据推向各种第三方存储系统,并将其附加到Bug Bounty Program的问题跟踪器上 - 然后所有这些都成为他们自己的潜在泄漏向量。
在那里的数百个程序中扩展了扩展,这可能会导致大量潜在的敏感数据在各个地方存储。
没有痕迹
除了意外的研究发现外,Ayrey和Merrill说,组织和错误赏金平台还通过未能要求删除所有相关数据或简单地将敏感信息放在文件中的情况下,在错误支持票已关闭后很久,平台也打开了泄漏的大门。
Merrill向主持Bug Bounty计划的人提供建议:“我们可能不会达到'Perfect',但我们可以采取渐进步骤前进。基本数据治理原则和数据生命周期最佳实践将帮助您到达那里。”
Ayrey补充说:“这些隐私泄漏确实很普遍,对于我们可以公开共享的每个示例,都有100个不能公开共享的示例。我认为是时候开始就此进行对话并减少一些影响了。
“我们确实认为,漏洞赏金是变革的积极力量,而经营虫子的公司比没有那些没有的公司更好。”