“Cazador de Vulnerabilidades”( Bug bounty) saca dinero de un exploit plagiado

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los programas de recompensas por errores, han ganado un mayor impulso e interés de la comunidad de investigación de seguridad, por su papel en la promoción de la conciencia de seguridad y la divulgación responsable de vulnerabilidades. Pero no están exentos de problemas.

Las plataformas de recompensas de errores satisfacen una necesidad genuina. Ayudan a las empresas, a solicitar informes de vulnerabilidad en sus productos, a los testers e investigadores de forma responsable, al tiempo que crean un incentivo monetario para los investigadores que presentan estos informes.

La caza de vulnerabilidades ya no es solo una buena causa que beneficia a la comunidad, sino una industria multimillonaria.

El año pasado, HackerOne había pagado más de $ 62 millones en recompensas por errores, y la cifra superó los $ 100 millones este año, según el último informe de la plataforma.

"Cazador de Vulnerabilidades" saca dinero de un exploit plagiado

Las plataformas como HackerOne y Bugcrowd están diseñadas para promover una cultura de ética, confianza y responsabilidad entre los profesionales de la seguridad.

Desafortunadamente, algunos pueden intentar abusar de estos sistemas para su propio beneficio económico.

Durante el fin de semana, el profesional de seguridad Guido Vranken alegó que una vulnerabilidad informada al programa de recompensas de errores de Monero ejecutado por HackerOne era una copia literal de su exploit descubierto anteriormente.

La vulnerabilidad a la que se refiere Vranken es una falla crítica de desbordamiento de búfer (CVE-2019-6250) que había descubierto en la serie libzmq 4.1 e informado a los desarrolladores en enero de 2019.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

"Lol alguien copió y pegó mi análisis libzmq exploit + textualmente en un programa de recompensas de errores [HackerOne] y recogió el dinero", tuiteó Vranken.

Aunque el personal de HackerOne ha cerrado previamente informes con contenido plagiado que no tiene ningún mérito para ellos, siempre existe la posibilidad de una supervisión inadvertida por parte de un miembro del personal.

En el momento de redactar este informe, el personal de Monero ha declarado en el mismo informe de HackerOne que, aunque el error fue plagiado, no pueden retirar la suma de dinero ya pagada.

"NB: esta divulgación fue robada (!!) de la divulgación original de Guido Vranken sin que se le diera ningún crédito. ".

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

La divulgación sobre HackerOne se produce en julio de 2019 y tiene una redacción exacta como el informe de Vranken de enero de 2019.

Al mirar más de cerca, el equipo de Monero había determinado que "la serie 4.1 (de la que está usando la compilación de reproducción) parece no verse afectada por CVE-2019-6250 pero, definitivamente, sí está afectada por CVE-2019-13132", y por tanto, determinó que se le debía legítimamente una recompensa a Melo.

Esa es también la razón por la que se cambió el título del informe HackerOne para reemplazar CVE-2019-6250 con CVE-2019-13132.

Un punto clave a tener en cuenta aquí es que, aunque el plagio no es ético, una vez que un error se divulga públicamente, no hay nada que impida que otros lo copien, reformulen y reclamen crédito.

Para minimizar las posibilidades de que su informe sea plagiado, debe enviarse de manera responsable e idealmente de forma privada.

A menos que las plataformas revisen las políticas sobre la validación de la autenticidad de los informes de vulnerabilidad y sobre los pagos de recompensas por errores, queda margen para el abuso por parte de actores maliciosos.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Esta gente cada vez busca hacer las cosas más simple sin dar el crédito. Que descortés.

-Kirari