We hebben de opkomst van bug bounty-programma’s gezien bij veel grote technologiebedrijven als gevolg van het groeiende bedreigingslandschap dat, als het niet wordt gecontroleerd, enorme schade aan kritieke infrastructuren en bedrijven zou veroorzaken.
Adobe is de laatste die zijn eigen kwetsbaarheidsonthullingsprogramma lanceert op het HackerOne-platform. Maar in tegenstelling tot zijn collega’s, biedt het bedrijf geen financiële prikkels aan onderzoekers die gebreken in de producten van het bedrijf ontdekken. Dit staat in schril contrast met andere bedrijven zoals Google, dat alleen al in 2014 $ 1,5 miljoen betaalde aan bugjagers, en Facebook betaalde $ 1,3 miljoen voor de duizenden inzendingen die het vorig jaar ontving.
Ook is de reikwijdte van het onderzoek dat in het programma wordt behandeld, beperkt tot alleen webapplicaties, wat betekent dat als een kwetsbaarheid wordt gevonden in een bepaald Adobe-product dat niet in het programma is gespecificeerd, dit niet zal baten. Als u daarom kwetsbaarheden aantreft in de Adobe-wachtwoordreset, beveiligingsheaders, cookievlag, statische pagina’s en cross-site request forgery-kwetsbaarheden, neem dan niet de moeite om dit aan Adobe te melden.
Maar Adobe moedigt onderzoekers nog steeds aan om kwetsbaarheden in te dienen die zijn gevonden in desktoptoepassingen zoals Adobe Reader, Flash Player en Acrobat.
Het enige voordeel dat onderzoekers kunnen halen uit het onthullen van kwetsbaarheden in Adobe-producten is een verhoging van uw HackerOne-score.
Het programma voor het openbaar maken van kwetsbaarheden is een essentiële stap in de veilige levenscyclus van Adobe-producten, met als doel het testen van en investeren in middelen om producten te evalueren. Dit dient als een soort overleg met de veiligheidsonderzoeksgemeenschap in het algemeen. De waarde die wordt geboden door feedback van beveiligingsonderzoekers is onmisbaar, en Adobe moet zich realiseren dat een krediet op het HackerOne-platform misschien niet genoeg is, tenzij sommige altruïstische onderzoekers dit werk doen.
U herinnert zich misschien dat beveiligingsonderzoekers hun onderzoek naar kwetsbaarheden in de begintijd begonnen met erkenning in het bulletin van Microsoft. De tijden zijn veranderd en nu de bedreigingen exponentieel toenemen, hebben onderzoekers deze keer geld nodig om hun werk te kunnen blijven doen.
Adobe kan op zijn minst manieren vinden om zijn programma voor het bekendmaken van kwetsbaarheden te stimuleren. In het ergste geval kunnen onderzoekers ervoor kiezen om de exploit voor geld aan hackers te verkopen. Maar waarom zou Adobe in de eerste plaats aarzelen om beveiligingsonderzoekers te betalen als ze de middelen hebben?
Een ding dat veel bedrijven met bug bounty-programma’s in gedachten hebben, is om zich te concentreren op het verwijderen van beveiligingsproblemen als een hele klas en niet als een enkele oplossing die alleen maar leidt tot de geboorte van een andere kwetsbaarheid.
