À medida que os ciberataques aumentam exponencialmente e o custo de manter equipes internas dedicadas à segurança dispara, a popularidade do programa de “recompensa por bugs” (que paga hackers externos para expor legalmente vulnerabilidades de cibersegurança) está explodindo.
Organizações grandes e pequenas estão executando programas para erradicar as vulnerabilidades de segurança em seus produtos. Governos e formuladores de políticas estão mudando leis para facilitar a adoção dessa abordagem, enquanto gigantes do setor privado de tecnologia também estão oferecendo recompensas generosas – somente a Apple teria pago mais de $20 milhões através de seu programa de recompensas, e a empresa oferece até $2 milhões para qualquer hacker que relatar uma vulnerabilidade que contorne as proteções do Modo de Bloqueio em seus dispositivos.
É uma abordagem que se alinha perfeitamente com a filosofia da Zabbix de “segurança em primeiro lugar”. E é por isso que, à medida que 2023 iniciou, começamos a trabalhar com a HackerOne, líder mundial em gestão de resistência a ataques (ARM, na sigla em inglês). A ARM combina a expertise de segurança de hackers éticos com a descoberta de ativos, avaliação contínua e aprimoramento de processos para encontrar e fechar lacunas na superfície de ataque digital.
Table of Contents
Por que a HackerOne?
Sabíamos desde o início que queríamos criar um programa de recompensa por bugs específico para o Zabbix que desafiasse os melhores hackers éticos do mundo a encontrar os pontos fracos em nossa armadura de cibersegurança – e nos informar sobre eles a tempo de corrigi-los.
Uma das maiores vantagens da plataforma HackerOne é a ampla e diversa comunidade de especialistas que eles podem convocar. Adicionar o Zabbix à plataforma da HackerOne foi uma oportunidade de ouro para testar nossa segurança e vulnerabilidades em uma escala que anteriormente nem podíamos imaginar.
Em contraste com um teste de penetração individual, que é a medida de segurança padrão “à moda antiga” da indústria e é realizado com base em um cenário pré-preparado, sabíamos que os especialistas da HackerOne poderiam descobrir vulnerabilidades que um teste de penetração comum nunca encontraria.
Ao mesmo tempo, sabíamos que adicionar o Zabbix à HackerOne era uma decisão ousada que testaria nossa fé na segurança de nosso produto. Simplificando, unir-se à HackerOne era nossa maneira de confirmar a qualidade do Zabbix e nosso desejo de melhorá-lo constantemente.
Iniciando
Há muito tempo, sabemos que a HackerOne era o parceiro ideal para um programa de recompensa por bugs, dada a sua reputação por inovação e eficácia. Após uma abordagem inicial e um acordo entre a HackerOne e a Zabbix, era hora de considerar como exatamente um programa de recompensa por bugs da Zabbix se pareceria.
Ficou claro para todos os envolvidos que, para que a comunicação de vulnerabilidades fosse significativa e estruturada, precisávamos desenvolver novos fluxos de trabalho que forneceriam um procedimento para processar as aplicações recebidas e encaminhá-las para desenvolvimento. Outro passo crítico foi registrar-se no banco de dados de Vulnerabilidades e Exposições Comuns (CVE), onde todas as vulnerabilidades descobertas no Zabbix são atualmente registradas.
Os resultados
Temos o prazer de informar que, como em qualquer implementação bem-sucedida, os números falam por si mesmos:
Dados sobre o período 01.01.2023 – 25.01.2024
Submissões
• Reports enviados: 250
• Reports triados: 3
• Reports fechados como resolvidos: 16
• Reports recompensados: 19
Recompensas
• Total de prêmios: $17,300.00
• Recompensa média: $865.00
• Recompensa mediana: $500.00
Submissões por severidade
• Crítica: 29
• Alta: 65
• Média, baixa, nenhuma: 108
• Sem severidade: 48
Ficamos agradavelmente surpresos apenas com o número de inscrições – nem todas as 250 inscrições eram graves ou até mesmo acionáveis, mas o número mostra que nossa comunidade está aderindo ao programa, divulgando e fazendo sua parte para nos ajudar a garantir que o Zabbix seja tão seguro quanto possivelmente podemos fazer. O fato de termos conseguido “eliminar” vários bugs que agora nunca terão a chance de atormentar nossos usuários é apenas a cereja no topo do bolo.
Os resultados são impressionantes, mas em consonância com o ethos de melhoria contínua da Zabbix, estamos confiantes de que, com alguns refinamentos, podemos pagar ainda mais em 2024. Afinal, qualquer dinheiro que vá para a construção de um produto melhor e mais seguro é dinheiro bem gasto! Gostaríamos de encerrar estendendo um agradecimento especial e sincero a todos que contribuíram para o nosso programa de recompensa por bugs e descobriram vulnerabilidades – continuem com o ótimo trabalho!