توییتر بسته تشویقیاش را از حداقل ۱۴۰ دلار در نظر گرفته و برای آن سقفی تعیین نکرده است. این شبکه اجتماعی تا به حال چندین مشکل و حفره امنیتی را از طریق برنامه HackerOne کشف و برطرف کرده است.
توییتر نیز بهتازگی تشویقی Bug Bounty را راهاندازی کرده است، برای اینکار این شرکت از سکوی HackerOne که یکی از سکوهای معروف گزارش آسیبپذیری است، استفاده کرده است.
به گزارش تکنـــــــــــازدانلود: البته در سه ماه گذشته محققان دهها آسیبپذیری را از همین طریق به توییتر گزارش داده بودند اما آسیبپذیریهایی که بعد از سوم سپتامبر ثبت شده باشند، جایزه دریافت میکنند.
شبکه اجتماعی توییتر با ارائه برنامه تشویقی Bug Bounty از محققان و برنامهنویسان دعوت کرد تا با ارئه گزارش از وجود نقص یا حفره امنیتی در توییتر جایزه دریافت کنند.
آی تی اس ان به نقل از threatpost روز گذشته شبکه اجتماعی توییتر اعلام کرد که این بسته تشویقی را از طریق برنامه HackerOne انجام خواهد داد.
Bug Bounty یک بسته تشویقی کشف نقص و حفره امنیتی است که کمپانیهای بزرگ اینترنتی را قادر میسازد تا امکان دسترسی صدها نخبه و محقق آیتی برای انجام کار تحقیقاتی بر روی سایتهایشان را انجام دهند.
برنامه HackerOne در حال حاضر توسط تعدادی کمپانی بزرگ اینترنتی از جمله: Square، Yahoo و CloudFlare مورد استفاده قرار میگیرد.
همهی محققانی که در مورد دامنهی توییتر و زیردامنههای آن و همچنین نرمافزارهای توییتر iOS واندروید آسیبپذیریهایی را کشف و گزارش کنند، دستکم مبلغ ۱۴۰ دلار جایزه دریافت میکنند.
این آسیبپذیریها باید در دامنه برنامههای حملهای باشد؛ از جمله: XSS و CSRF که نرمافزارهایی برای حملات وب هستند و همچنین remote code execution یا همان «اجرای کد از راه دور» که امکان دسترسی غیر مجاز به توییتهای خصوصی را با پیامهای مستقیم فراهم میکند.
گروه مدیریت توییتر در این خصوص اعلام کرد: «برقراری امنیت در حد بالا در اینترنت یک اقدام همگانی است و ما خیلی خوشحال هستیم که از گروهای مستقل نخبه و با استعداد برای تحقیق بر روی امنیت سیستمهایمان دعوت میکنیم تا داوطلبانه وقتشان را برای پیدا کردن عیبهای امنیتی توییتر صرف کنند.»
مدیریت توییتر با اشاره به اهمیت بررسی محققان داوطلب در برقراری امنیت سیستمهای این کمپانی تصریح کرد: «ما برای شناسایی و ثبت دستاورد محققان و همچنین به پاس تلاش و نقش مهمشان در ایمن نگه داشتن توییتر این برنامه تشویقی را عرضه کردهایم.»
در حال حاضر Bug Bounty برای شرکتهای بزرگ اینترنتی از جمله: فیسبوک، یاهو و گوگل اجباری شده است. مایکروسافت برنامه تشویقی خودش را دارد و حتی برخی از برنامه نویسان پیشاپیش بابت یافتن حفرههای امنیتی درخواست دریافت جایزه کردهاند.
توییتر بسته تشویقیاش را از حداقل ۱۴۰ دلار در نظر گرفته و برای آن سقفی تعیین نکرده است. این شبکه اجتماعی تا به حال چندین مشکل و حفره امنیتی را از طریق برنامه HackerOne کشف و برطرف کرده است.
سکوی Hackerone در حال حاضر برنامهی گزارش آسیبپذیری را برای وبگاه و سرویسهای یاهو، توییتر، سرویس رایانامهی روسیِ Mail.ru، سرویس cloudflare و … ارائه میدهد. این سکو تاکنون موفق به وصله کردن بیش از ۳۵۰۰ آسیبپذیری شده است و مبلغ ۱٫۱۷ میلیون دلار نیز به محققان کاشف آسیبپذیری پرداخت کرده است.
برنامههای جایزه در قبال کشف آسیبپذیری بسیار خلاقانه است و همهی محققانی که آسیبپذیری گزارش دادهاند، محققان باتجربهای نیستند، و با وجود این:ه شرکتهای توسعهدهنده باید مبلغ زیادی جایزه پرداخت کنند، اما منفعت اصلی متعلق به آنها خواهد بود.
چندی پیش توییتر یک نقص امنیتی را در بستههای اطلاعاتی معروف به کوکی (Cookies) در سایت خود یافت که علامت ایمن سازی(Secure) بر روی آنها نصب نشده بود.