六年来,这家俄罗斯网络服务巨头为数百个项目支付了超过beplay体育能用吗130万美元的赏金
Mail.ru集团在俄罗斯以外的旗舰领域是相对未知的,但其旗舰域是该国访问量最多的网站,在全球第26个网站,beplay体育能用吗根据类似的网络beplay体育能用吗。
该公司成立于1998年,首先提供电子邮件服务,但此后已多元化到电子商务,社交网络,即时消息,在线游戏,地图和商业工具。
每日swbeplay2018官网igMail.ru Group的信息安全技术顾问Vladimir Dubrovin访问了有关其电子邮件域的Hackerone Bug Bounty程序的更多信息,mail.ru,对于俄罗斯最大的社交网站,Vkontakte和odnoklassniki。
Dubrovin解释了为什么Mail.ru Group为安全研究人员提供了一个有益的才华的渠道,并概述了其实施的一些安全改进。错误赏金程式。
Mail.ru集团的错误赏金计划是什么方式,这是安全研究人员的收入来源有意义且令人满意的来源?
我们的计划以其极为宽敞的范围而闻名。我们会收到有关数百个邮件集团的项目的报告,甚至是合作伙伴的错误,即使他们的错误影响我们的用户。
并非所有的漏洞赏金报告都得到奖励,也不是所有项目的奖励。
但是,我们确实提供了大量报告大量服务器端的漏洞在我们的所有项目中,并为检测我们的关键服务中的任何漏洞而自由付款。
面试Bun Bounty领导者ClémentDomingo关于非洲网络安全,黑客事件和链接脆弱性,以获得最大影响
我们试图与研究人员,因为我们非常重视尽快响应任何报告,以及时处理漏洞并付出奖励。在大多数情况下,我们会在几个小时内回复研究人员,并在一周内,有时甚至在同一天奖励他们。
我们的漏洞赏金规则是完全透明的 - 我们明确说明我们着重于哪些漏洞以及我们提供的漏洞猎人作为回报。
您在负责任的披露中遇到了什么样的挑战,您如何克服它们?
负责任的披露问题并不是普遍的。通常,我们披露了漏洞,通常是由我们而不是黑客研究人员发起的。
大多数研究人员以负责任的方式采取行动,我们感谢这一点。例外非常罕见,通常是无意的,例如,当研究人员偶然地制作有关漏洞的视频时。
我们正在处理的问题主要是技术性的。例如,我们尝试在提交研究人员的报告之前自动通知研究人员是否有资格参加该计划,或者需要接受其他检查和更正。
We even clarify some technical aspects to prevent a reputation/signal loss by the researcher (reputation and signal are a kind of SLA for researchers, and if a submitted report is not accepted, it is bad for the SLA) because researchers often don’t read all of the rules.
mail.ru Group“自由地”用于在关键服务中找到的安全错误
您能想到由于提交程序而解决的一个特别有趣的安全漏洞,以及为什么它脱颖而出?
我们收到了几份有关漏洞的报告,这些报告曾经被视为纯粹理论。这些属于一个全新的漏洞类或操作向量。
最有趣的问题之一是在流行中发现了一些零周开源项目。
您最近在加强Mail.RU组域及其依赖性的安全方面取得了什么成就?
我们的关键成就之一是使用Hackerone部分和安全流程组成的Bug Bounty计划。
它不仅仅是修复漏洞,还可以报告漏洞作为外部反馈,可以帮助我们找到和删除瓶颈,并通过提高基线来从根本上提高安全性。
另一个成就是过程可管理性。现在,我们能够高效地管理和花费预算,并收到真正相关的报告。
Mail.ru集团是一家大型控股公司,其渠道数百个项目。现在,我们可以将Bug Bounty计划的想法出售给该集团的不同业务部门,并促进Bug-Bounty-As-a-Service。
我们计划的范围和预算的指数增长可以清楚地证明这一点。推出六年后,我们已经支付了1,335,691美元,在过去12个月中支付了其中的一半。
管道中有哪些安全功能和其他安全性改进?
在我的演讲之一中,我试图列出所有受Bug Bounty计划影响的所有过程。但是,我不得不再次使字体缩小后放弃,以使其适合两个幻灯片。
这是令人鼓舞的,因为Bug Bounty涉及的过程越多,该程序的信息就越有用。
我们的管道还有许多其他与我们的漏洞赏金计划或其他内部流程无关的惊人项目。
作为一个例子,我们最近实施了用于使用令牌和的Webauthnbeplay体育能用吗生物识别技术在Webeplay体育能用吗b浏览器中。总体而言,我们正在积极致力于将替换密码的解决方案。beplay维护得多久
我们正在实施对新的支持电子邮件安全性标准(例如,MTA-STS的部署几乎已经完成),改善了身份验证过程的安全性,并[添加]网络钓鱼保护。
换句话说,我们会尽一切努力使普通的互联网用户更加安全,有时即使不知道。
您如何确保依赖关系遵守高安全标准,或者仅与那些这样做的依赖性合作?
在将其集成到我们的产品和服务中之前,我们对任何第三方解决方案进行了审核。
我们使用的所有外部解决方案beplay维护得多久也均由我们的错误赏金计划涵盖。在签约新的合作伙伴服务时,我们声明该服务应准备好被研究人员狩猎,并拥有解决安全问题的SLA。
每当违反SLA或任何系统性问题作为Bounty计划的一部分揭示时,我们都可以更改白色标签解决方案提供商,或者选择开发自己的解决方案。
