Как определить поддельный Bug Bounty отчет?

Уже давно существует программа Bug Bounty и представляет из себя вознаграждение специалистов за обнаружение и сообщение об ошибках в программном обеспечении. Компания может использовать программу как экономически эффективный способ поиска и устранения уязвимостей ПО, повышая безопасность своих продуктов и налаживая доверительные отношения со специалистами кибербезопасности.

На данный момент развивается тенденция поддельных Bug Bounty отчетов. Специалист использует инструменты сканирования для имитации проблемы и сообщает о фальшивой уязвимости большому количеству организаций. Некоторые поддельные отчеты могут быть слишком явными, а другие отчеты могут оказаться сложными и способными обмануть организацию на несколько тысяч долларов. В этом случае компания платит незаслуженную награду специалисту и показывает охотнику за ошибками свою некомпетентность в области кибербезопасности, побуждая багхантера обмануть компанию еще раз.

Есть действительно честные специалисты, которые пытаются помочь, и их открытие может сэкономить бизнесу большую сумму денег. Также существуют компании, которые могут анализировать отчеты и выявлять фальсификацию.

Для самостоятельного обнаружения фальшивого отчета нужно обратить внимание на несколько деталей:

• Соответствие отчета. Реальный отчет будет конкретным в своих деталях и будет ссылаться на систему, страницу или программу, используемую организацией;
• Объяснение воздействия. Настоящий багхантер приложит усилия для получения награды и сможет продемонстрировать, что обнаруженная уязвимость обходится компании дороже вознаграждения. Чем больше информации специалист сможет предоставить о влиянии и последствий уязвимости для организации, тем лучше;
• Структура отчета. Охотник, который запускает массовую рассылку из поддельных отчетов, использует один шаблон для документа и общие термины, не относящиеся к бизнесу фирмы. Настоящий отчет будет уникальным для каждой системы и уязвимости;
• Условия оплаты. Если пентестер просит оплату авансом без отчета, то он пытается обмануть. Организации нужно сначала увидеть отчет.

Если компания станет жертвой фальшивого отчета об ошибках, она может потерять большие деньги и быть под угрозой кибератак. Проблем с киберпреступностью можно избежать, имея непрерывное автоматическое сканирование и команду опытных специалистов по безопасности. Способность компании глубоко исследовать и проверять потенциальные слабые места может оказать огромное влияние на бизнес и предотвратить кражу конфиденциальных данных.