Supongamos que un pirata informático descubre una vulnerabilidad de seguridad en [Empresa] (o cualquier Desarrollador). ¿Llamarían al servicio de atención al cliente? ¿Esperarían entrar en las oficinas [de la compañía]? ¿Por qué debería [la compañía] confiar en que vale la pena investigar? Por otro lado, ¿cómo confiaría nuestro pirata informático en [la Compañía] en esta situación? ¿Qué podría hacer [Compañía] aquí para intimidar al investigador? ¿Qué pasa si [Compañía] no responde en absoluto?
HackerOne se enfoca en resolver los problemas con la divulgación de vulnerabilidades en sus diversas formas . Esta práctica describe los problemas relacionados con el paso de vulnerabilidades de sus buscadores (Investigadores / Hackers) a sus propietarios (Desarrolladores / Equipos de respuesta).
Aquí hay un ejemplo de cómo las oportunidades de divulgación interrumpidas pueden complicar las cosas:
- ¿Cómo hacen los hackers páginas falsas para hackear correos electrónicos?
- ¿Cómo funciona la inyección avanzada de SQL?
- Cómo mejorarme de ser un hombre poco interesante, aburrido y agresivo a ser un tipo genial, entretenido e inteligente
- ¿Qué es el túnel HTTP y cuáles son sus usos prácticos?
- ¿Qué es la serialización?
Sonda del FBI frente a denunciantes
http://archive.wired.com/politics/security/news/2005/07/68356?currentPage=all
Estudiantes del MIT obtienen las mejores calificaciones por piratear el metro de Boston
http://www.wired.com/2008/08/mit-students-ge/
Lo interesante es que tanto el pirata informático como el desarrollador valoran una interacción pacífica y productiva aquí. Tanto el pirata informático como el desarrollador pueden beneficiarse enormemente siempre que la conversación tenga un poco de estructura, expectativas preestablecidas y precedencia con otras interacciones de investigación para establecer normas en todos los ámbitos. Las recompensas también ayudan mucho.
Cómo funciona: los piratas informáticos se registran para encontrar errores en diversas tecnologías cuyos propietarios han expresado su interés en colaborar para lograr una mayor seguridad. Para echarle un vistazo en acción, revisa una vulnerabilidad real coordinada entre un hacker y Twitter:
Subdominio Takeover en media.vine.co
https://hackerone.com/reports/32825
TL; DR: HackerOne ofrece una plataforma que promueve una experiencia de divulgación positiva en el cumplimiento de su misión de asegurar todas las cosas, con Hackers y Empresas trabajando juntos en beneficio de todos.
