Por primera vez en su historia, la plataforma de revelación de vulnerabilidades y recompensas de errores HackerOne ha expulsado a una empresa de su plataforma.
La plataforma de votación basada en blockchain Voatz ha promocionado durante mucho tiempo su programa de recompensas de errores a través de HackerOne cuando se le preguntó sobre la seguridad de su aplicación de votación móvil habilitada para blockchain.
Fundada en 2012, HackerOne conecta a las empresas con probadores de pen e investigadores de ciberseguridad. Ha alojado más de 1.800 programas para clientes, pero la generosa recompensa por errores de la empresa con sede en Massachusetts ya no es uno de ellos.
"Como plataforma, trabajamos incansablemente para fomentar esa relación mutuamente beneficiosa entre los equipos de seguridad y la comunidad de investigadores", dijo la portavoz de HackerOne, Samantha Spielman, a Cointelegraph, "Nos asociamos con organizaciones que priorizan actuar de buena fe hacia la comunidad de investigadores de seguridad y proporcionar un acceso adecuado". a investigadores para realizar pruebas. Debido a que el programa Voatz no cumplió con ninguno de esos requisitos, terminamos nuestra asociación en marzo de 2020 ".
En un comunicado, un portavoz de Voatz atribuyó la decisión de HackerOne de arrancarlos de la plataforma a "presión de un pequeño grupo de investigadores" que "creen que Voatz denunció a un investigador ante el FBI". De hecho, Voatz reportó al estudiante a la jurisdicción que luego lo reportó al FBI.
Voatz enfrentó críticas después de que un investigador de seguridad estudiantil fuera remitido al FBI por lo que la compañía dice que fue un intento de intrusión, a pesar de que esa investigación parece haber sido protegida por la declaración de puerto seguro en el programa de recompensas por errores de la compañía. Después de que la referencia del FBI apareciera en los titulares, Voatz actualizó retroactivamente los términos del programa de recompensas de errores de HackerOne para reducir el alcance de su política de puerto seguro, dejando en claro si incluso proporcionó protección legal completa.
“La confianza es primordial en todo el modelo de recompensa por errores entre los equipos de seguridad, los piratas informáticos y la plataforma. Una vez que se rompe la confianza, es difícil reconstruirla. Si bien Voatz pudo emerger y resolver vulnerabilidades a través de su programa de recompensas de errores, el programa ya no era productivo para ninguna de las partes ”, dijo Spielman.
El investigador de seguridad independiente y ávido cazador de recompensas de errores Jack Cable dijo que Voatz fue lento incluso para confirmar los dos informes de recompensas de errores que presentó. En un caso, encontró una vulnerabilidad, Voatz almacenando claves privadas de Stack Overflow en su aplicación, que Voatz dijo que no tenía ningún papel en su proceso electoral. Sin embargo, una auditoría de seguridad realizada por Trail of Bits sugirió que estaba en uso en ciertas funciones y figuraba como un error de alta seguridad.
"Hay muchos casos en los que intentaron minimizar la gravedad de algo o no estaban muy claros acerca de si era incluso una vulnerabilidad. En general, no fue una experiencia muy productiva ”, dijo Cable.
Cable también encontró bloqueada su dirección IP al probar la aplicación, aunque dice que no está claro si esto fue automatizado. "Hubo un par de veces cuando estaba probando y ya no podía ni siquiera en su entorno de ensayo porque mi dirección IP estaba bloqueada", dijo.
Los investigadores del MIT que identificaron serias fallas de seguridad con Voatz encontraron muchas vulnerabilidades que hubieran estado fuera del alcance del programa de recompensas de errores, si lo hubieran superado. En cambio, pasaron por CISA. "Queríamos que la investigación hablara por sí misma y teníamos inquietudes legales sobre la respuesta poco profesional de Voatz a investigaciones de seguridad independientes anteriores, como se ha documentado en múltiple Noticias puntos de venta," los investigadores escribió en un FAQ.
Cable señaló la "hostilidad general de Voatz hacia la investigación de seguridad en su conjunto". Voatz negó las vulnerabilidades de seguridad descritas en un informe del MIT, incluso después de que Trail of Bits, la firma de auditoría que contrató lo confirmó. "Por un lado, dicen:" ven y cuéntanos sobre las vulnerabilidades que encuentras ". Pero luego, cuando las personas realmente encuentran vulnerabilidades, niegan que incluso existan", dijo.
“Claramente no son receptivos a la investigación de seguridad. HackerOne tiene la responsabilidad de proteger no solo a sus clientes, sino también a los hackers en su plataforma tan pronto como la compañía comience a cruzar esa línea. Creo que HackerOne tuvo que actuar, así que me alegro de que lo hayan hecho en este caso ".
Voatz dijo que planea anunciar un programa integral de recompensas por errores en los próximos días.