Reddit engage HackerOne pour exécuter un programme public de primes aux bogues

La plateforme communautaire en ligne Reddit va lancer un programme de primes aux bogues face au public par l’intermédiaire de hackerone, spécialistes du piratage éthique, après avoir lancé avec succès un programme privé de trois ans.

Tout au long de son histoire, Reddit a utilisé l’expertise de ses diverses communautés de plusieurs façons, et quand il s’agit de cybersécurité, il a souvent compté sur la communauté de la sécurité pour aider à trouver et corriger les bogues dans sa plate-forme. Elle en a même recruté quelques-uns à l’interne.

« Reddit a toujours mis à profit la communauté pour aider à trouver et à corriger les bogues dans la plate-forme, et c’est ainsi que nous avons trouvé plusieurs de nos ingénieurs pour aider à améliorer la sécurité de la plate-forme au fil des ans », a déclaré Spencer Koch, professionnel de la sécurité chez Reddit.

« L’évolution de notre équipe de sécurité a vraiment commencé en 2018 lorsque nous avons officialisé notre programme privé de primes aux bogues. Au fur et à mesure que notre plate-forme a pris de l’ampleur, de la pertinence et de l’ensemble de fonctionnalités, nous avons également élargi le programme à ses côtés en élargissant sa portée, en améliorant nos primes et en soutenant les chercheurs en sécurité dans leur contexte et leur compréhension du fonctionnement de Reddit.

Mise en place en juin 2005, la plate-forme Reddit approche à grands pas de son 16ème anniversaire, ce qui signifie que la plate-forme contient beaucoup de vieux – voire oubliés – code et fonctionnalités qui pourraient encore être vulnérables », a déclaré Koch.

« Je me souviens de mes premières semaines à Reddit, nous avons eu quelques soumissions autour d’une fonctionnalité de produit Reddit Live que je n’avais même jamais entendu parler, dit-il. « Le mois dernier, nous avons reçu une soumission sur une extension de navigateur Chrome longtemps supprimée qui avait un code vieux de trois ans dans un [Amazon Web Services] Seau S3 avec une vulnérabilité XSS en elle. Ainsi, avec les yeux supplémentaires de notre programme de primes aux bogues, nous sommes en mesure de trouver des choses qui sont peut-être passées inaperçues.

Le passage à un programme public signifie que tout pirate sera en mesure de sonder ventre Reddit à la recherche de défauts et de vulnérabilités, avec des récompenses monétaires versées par HackerOne. Koch a déclaré que l’annonce publique était une « évolution naturelle » pour Reddit.

« Le public du programme est un de mes objectifs depuis que j’ai rejoint Reddit, et avec la croissance continue de nos effectifs d’ingénierie et de notre portée applicable, nous devions ouvrir le programme pour obtenir suffisamment de chercheurs pour couvrir l’ensemble de Reddit », a-t-il déclaré. « Et ne manquez pas non plus les compétences uniques que chaque chercheur apporte à la table. »

Le programme public sera soutenu par le service de triage de HackerOne, qui reproduit les rapports, offre des conseils d’assainissement et aide aux tests de corrections implémentées. Ce service sera également mélangé à l’équipe de sécurité de Reddit pour lui donner l’occasion de s’appuyer sur la propre équipe de recherche de HackerOne au besoin – par exemple, produire des rapports détaillés sur les bogues soumis, ou le dépistage et la collecte d’informations.

Allison Miller, CISO et vice-présidente de la confiance chez Reddit, a déclaré : « Tout le monde à Reddit joue un rôle important, et c’est ce qui est génial avec Reddit – nous avons construit une culture consciente et reconnaissante de la sécurité, et nous donnons à nos développeurs les moyens de prendre des décisions intelligentes en matière de sécurité.

« Il n’y a jamais assez d’ingénieurs en sécurité pour faire le tour, et donc tirer parti de l’intelligence des chercheurs indépendants en sécurité libère des cycles d’ingénierie pour d’autres travaux, puisque nous avons cette aide externe supplémentaire sur les tests. Hacker-power nous aide à trouver des bogues significatifs à travers le spectre, des vulnérabilités de sécurité à l’ancienne comme XSS aux problèmes de logique d’entreprise avec les systèmes d’autorisation de Reddit, à trouver des documents contradictoires ou déroutants autour de nos API et fonctionnalités du site.

M. Miller a déclaré que l’introduction d’un programme de primes aux bogues, qu’elle soit publique ou privée, ne devrait pas être une entreprise effrayante pour un responsable de la sécurité – en supposant qu’ils aient fait preuve de diligence raisonnable dès le départ – et que les avantages étaient évidents à voir.

« Vous pouvez avoir toute l’automatisation dans le monde, mais parfois juste avoir différents ensembles d’yeux avec différentes techniques et maniérismes permet d’identifier des choses qui auraient pu autrement passer inaperçu par votre équipe, dit-elle.

« Et ce n’est pas comme si le fait de ne pas avoir de programme de primes de bogues fait disparaître les bogues de sécurité de votre organisation – cela incite simplement les gens à les signaler.

« Par rapport aux rapports de bogues utilisateur dans r / bugs qui sont souvent pleins de photos de bogues, rapports de programme de primes de bogues sont d’une telle fidélité élevée que nos équipes de développement peuvent rapidement se rendre à la fixation, et faire confiance aux recommandations de l’équipe de sécurité. »