Clôture de mots lancé un programme de bug bounty aujourd’hui pour offrir une incitation financière aux chercheurs en sécurité signalant des vulnérabilités à haut risque au programme de l’entreprise.

Une fois que les chercheurs ont révélé des vulnérabilités dans Wordfence, l’entreprise les trie et les divulgue de manière confidentielle aux fournisseurs pour qu’ils les corrigent. Lorsque le correctif sera publié, la vulnérabilité sera incluse dans la base de données publique de Wordfence, dont l’accès est gratuit, conformément à une politique de divulgation responsable.

« Il n’y a pas de limite aux récompenses qu’un chercheur individuel peut gagner, et chaque vulnérabilité entrant dans le champ d’application reçue via notre processus de soumission bénéficie d’une récompense », a déclaré Chloe Chamberland, analyste en sécurité chez Wordfence.

Wordfence récompensera les chercheurs qui découvrent des vulnérabilités dans les plugins et les thèmes avec plus de 50 000 installations actives. Voici quelques exemples de paiements :

  • 1 600 $ pour un téléchargement de fichier arbitraire non authentifié, une exécution de code à distance, une élévation de privilèges vers l’administrateur ou une mise à jour d’options arbitraires dans un plugin ou un thème avec plus d’un million d’installations actives.
  • 1 060 $ pour une suppression arbitraire de fichier non authentifiée dans un plugin ou un thème avec plus d’un million d’installations actives, en supposant que wp-config.php puisse être facilement supprimé.
  • 800 $ pour une injection SQL non authentifiée dans un plugin ou un thème avec plus d’un million d’installations actives.
  • 320 $ pour une vulnérabilité de script intersite non authentifié dans un plugin ou un thème avec plus d’un million d’installations actives.
  • 80 $ pour une vulnérabilité Cross-Site Request Forgery dans un plugin ou un thème avec plus d’un million d’installations actives et un impact significatif.

« Notre programme Bug Bounty a été conçu pour avoir le plus grand impact positif sur la sécurité de l’écosystème WordPress », a déclaré Chamberland. « Les récompenses ne sont pas gagnées en recherchant en masse des vulnérabilités ayant un impact minimal et en gagnant une place dans un classement, mais elles sont plutôt basées sur le nombre d’installations actives, la criticité de la vulnérabilité, la facilité d’exploitation et la prévalence du type de vulnérabilité. .»

Le lancement du programme de primes aux bogues de Wordfence visait clairement un positionnement concurrentiel en appelant indirectement Patchstack, qui exploite son programme sur un système de classement où seuls les meilleurs chercheurs sont payés. Il existe quelques différences notables : certaines primes sont attribuées à discrétion, mais la plupart des primes individuelles visent le score le plus élevé dans diverses catégories :

Patchstack garantit une cagnotte mensuelle d’au moins 2 425 $ (la cagnotte la plus basse possible). Le membre de Patchstack Alliance qui collectera le plus de points pour un mois donné à partir de ses rapports soumis recevra la prime de 650 $, le deuxième recevra 350 $ et le troisième recevra 250 $.

Nous avons des primes supplémentaires (bounties uniques) pour signaler la vulnérabilité avec la version CVSS la plus élevée. 3.1 note de base ; le nombre d’installations actives le plus élevé ; et pour signaler un groupe de composants affectés par la même vulnérabilité.

Patchstack peut récompenser les membres individuels de Patchstack Alliance à leur discrétion en fonction de l’impact global des vulnérabilités qu’ils découvrent.

Wordfence adopte une approche différente en payant pour chaque vulnérabilité signalée dans le cadre identifié par le programme.

Les chercheurs de l’écosystème WordPress doivent se familiariser avec les différents programmes de bug bounty et déterminer la meilleure voie pour leurs divulgations. Certains plugins et sociétés, tels que Élémentor, Force de remue-méninges, Automatique, Castoset Moteur WPont leurs propres programmes de bug bounty, avec une gamme de paiements différents.

« Nous payons plus par vulnérabilité et nous payons pour chaque vulnérabilité valide soumise », a déclaré Mark Maunder, PDG de Wordfence. «Nous pensons que c’est la seule façon équitable de le faire, car la gamification d’un programme de vulnérabilité, c’est comme avoir des employés qui travaillent tous, mais seuls ceux qui se trouvent en haut du classement sont payés. Si vous soumettez une vulnérabilité valide, vous devriez être payé pour votre travail.

Maunder soutient que de mauvaises incitations nuisent à la qualité des recherches soumises.

« Il existe un nombre extrêmement élevé de vulnérabilités à faible risque et de faible qualité soumises à des bases de données comme Patchstack », a-t-il déclaré. « Les vulnérabilités impliquant une falsification de requêtes intersites en sont un exemple. Les incitations que nous observons encouragent les chercheurs à générer un grand nombre de vulnérabilités à faible risque pour être récompensés. Ces chiffres élevés sont ensuite utilisés pour commercialiser des produits de sécurité.

Maunder a déclaré que Wordfence a structuré son programme autour du déplacement des incitations pour récompenser la recherche sur les vulnérabilités à haut risque, au lieu d’augmenter les mesures marketing pour une base de données de vulnérabilité particulière.

« Un volume élevé de vulnérabilités à faible risque dans une base de données particulière nuit à l’industrie car cela crée du travail pour d’autres organisations qui doivent intégrer ces données, mais pour la plupart, il s’agit d’un bruit inutile que nous sommes obligés de passer au crible, plutôt que de représenter des données. risque réel pour la communauté des utilisateurs », a déclaré Maunder.

En tant que nouveau venu dans le groupe des sociétés WordPress proposant des bug bounties, Wordfence entre sur le marché avec l’intention d’attirer davantage de rapports grâce à des bonus supplémentaires (10 % pour les 6 premiers mois) et une structure de bonus qui récompense l’enchaînement de plusieurs vulnérabilités, une documentation complète. , et d’autres efforts supplémentaires.

Tous les auteurs d’un plugin ou d’un thème populaire ne peuvent pas se permettre de proposer leur propre programme de bug bounty, et c’est là que les sociétés de sécurité interviennent pour combler les lacunes. Une concurrence accrue entre les entreprises pour une recherche de haute qualité ne peut être que bénéfique pour les utilisateurs de WordPress, car elle incite davantage à sécuriser l’écosystème et attirera potentiellement des chercheurs plus qualifiés. Les programmes de bug bounty évolueront probablement au fil du temps, à mesure que les entreprises les affinent pour offrir la meilleure valeur possible à la recherche originale.


Source link