جایزه 140 دلاری توییتر برای کاشفان آسیب پذیری

توییتر بسته تشویقی‌اش را از حداقل ۱۴۰ دلار در نظر گرفته و برای آن سقفی تعیین نکرده است. این شبکه اجتماعی تا به حال چندین مشکل و حفره امنیتی را از طریق برنامه HackerOne کشف و برطرف کرده است.

توییتر نیز به‌تازگی تشویقی Bug Bounty را راه‌اندازی کرده است، برای این‌کار این شرکت از سکوی HackerOne که  یکی از  سکوهای معروف گزارش آسیب‌پذیری است، استفاده کرده است.

به گزارش تکنـــــــــــازدانلود: البته در  سه ماه گذشته محققان ده‌ها آسیب‌پذیری را از همین طریق به توییتر گزارش  داده بودند اما آسیب‌پذیری‌هایی که بعد از سوم سپتامبر ثبت شده باشند،  جایزه دریافت می‌کنند.

شبکه اجتماعی توییتر با ارائه برنامه تشویقی Bug Bounty از محققان و برنامه‌نویسان دعوت کرد تا با ارئه گزارش از وجود نقص یا حفره امنیتی در توییتر جایزه دریافت کنند.

آی تی اس ان به نقل از threatpost روز گذشته شبکه اجتماعی توییتر اعلام کرد که این بسته تشویقی را از طریق برنامه HackerOne انجام خواهد داد.

Bug Bounty یک بسته تشویقی کشف نقص و حفره امنیتی است که کمپانی‌های بزرگ اینترنتی را قادر می‌سازد تا امکان دسترسی صدها نخبه و محقق آی‌تی برای انجام کار تحقیقاتی بر روی سایت‌های‌شان را انجام دهند.

برنامه HackerOne در حال حاضر توسط تعدادی کمپانی بزرگ اینترنتی از جمله: Square، Yahoo و CloudFlare مورد استفاده قرار می‌گیرد.

همه‌ی  محققانی که در مورد دامنه‌ی توییتر و زیردامنه‌های آن و هم‌چنین  نرم‌افزار‌های توییتر iOS واندروید آسیب‌پذیری‌هایی را کشف و گزارش کنند،  دست‌کم مبلغ ۱۴۰ دلار جایزه دریافت می‌کنند.

این آسیب‌پذیری‌ها باید در دامنه برنامه‌های حمله‌ای باشد؛ از جمله: XSS و CSRF که نرم‌افزارهایی برای حملات وب هستند و همچنین remote code execution یا همان «اجرای کد از راه دور» که امکان دسترسی غیر مجاز به توییت‌های خصوصی را با پیام‌های مستقیم فراهم می‌کند.

گروه مدیریت توییتر در این‌ خصوص اعلام کرد: «برقراری امنیت در حد بالا در اینترنت یک اقدام همگانی است و ما خیلی خوشحال هستیم که از گروهای مستقل نخبه و با استعداد برای تحقیق بر روی امنیت سیستم‌های‌مان دعوت می‌کنیم تا داوطلبانه وقت‌شان را برای پیدا کردن عیب‌های امنیتی توییتر صرف کنند.»

مدیریت توییتر با اشاره به اهمیت بررسی محققان داوطلب در برقراری امنیت سیستم‌های این کمپانی تصریح کرد: «ما برای شناسایی و ثبت دستاورد محققان و همچنین به پاس تلاش و نقش مهم‌شان در ایمن نگه داشتن توییتر این برنامه تشویقی را عرضه کرده‌ایم.»

در حال حاضر Bug Bounty برای شرکت‌های بزرگ اینترنتی از جمله: فیس‌بوک، یاهو و گوگل اجباری شده است. مایکروسافت برنامه تشویقی خودش را دارد و حتی برخی از برنامه نویسان پیشاپیش بابت یافتن حفره‌های امنیتی درخواست دریافت جایزه کرده‌اند.

توییتر بسته تشویقی‌اش را از حداقل ۱۴۰ دلار در نظر گرفته و برای آن سقفی تعیین نکرده است. این شبکه اجتماعی تا به حال چندین مشکل و حفره امنیتی را از طریق برنامه HackerOne کشف و برطرف کرده است.

سکوی Hackerone در حال حاضر برنامه‌ی گزارش آسیب‌پذیری را برای وب‌گاه و سرویس‌های یاهو، توییتر، سرویس رایانامه‌ی روسیِ Mail.ru، سرویس cloudflare و … ارائه می‌دهد. این سکو تاکنون موفق به وصله کردن بیش از ۳۵۰۰ آسیب‌پذیری شده است و مبلغ ۱٫۱۷ میلیون دلار نیز به محققان کاشف آسیب‌پذیری پرداخت کرده است.

برنامه‌های جایزه در قبال کشف آسیب‌پذیری بسیار خلاقانه است و همه‌ی محققانی که آسیب‌پذیری گزارش داده‌اند، محققان باتجربه‌ای نیستند، و با وجود این‌:ه شرکت‌های توسعه‌دهنده باید مبلغ زیادی جایزه پرداخت کنند، اما منفعت اصلی متعلق به آن‌ها خواهد بود.

چندی پیش توییتر یک نقص امنیتی را در بسته‌های اطلاعاتی معروف به کوکی (Cookies) در سایت خود یافت که علامت ایمن سازی(Secure) بر روی آنها نصب نشده بود.