Reddit fait appel à HackerOne pour gérer un programme public de primes aux bugs.
4 min readPlate-forme communautaire en ligne Reddit est de lancer une interface publique programme de primes aux bugs par des spécialistes du piratage éthique HackerOneaprès avoir mené avec succès un programme privé de trois ans.
Tout au long de son histoire, Reddit a utilisé l’expertise de ses diverses communautés de nombreuses façons, et en matière de cybersécurité, elle a souvent fait appel à la communauté de la sécurité pour l’aider à trouver et à corriger les bugs de sa plateforme. Elle a même recruté certains d’entre eux en interne.
“Reddit a toujours fait appel à la communauté pour l’aider à trouver et à corriger les bogues de la plate-forme, et, chose amusante, c’est ainsi que nous avons trouvé plusieurs de nos ingénieurs pour aider à améliorer la sécurité de la plate-forme au fil des ans”, a déclaré Spencer Koch, professionnel de la sécurité chez Reddit.
“L’évolution de notre équipe de sécurité a vraiment commencé en 2018, lorsque nous avons formalisé notre programme privé de primes aux bugs. Au fur et à mesure que notre plateforme s’est développée en termes de taille, de pertinence et de fonctionnalités, nous avons également fait évoluer le programme à ses côtés en élargissant son champ d’application, en améliorant nos paiements de primes et en soutenant les chercheurs en sécurité avec un contexte et un aperçu du fonctionnement de Reddit.”
Créée en juin 2005, la plateforme Reddit approche de son 16e anniversaire, ce qui signifie qu’elle contient beaucoup de code et de fonctionnalités anciens – voire oubliés – qui pourraient encore être vulnérables, a déclaré Koch.
“Je me souviens que lors de mes premières semaines chez Reddit, nous avons reçu des soumissions concernant une fonctionnalité du produit Reddit Live dont je n’avais jamais entendu parler”, a-t-il déclaré. Le mois dernier, nous avons reçu une demande concernant une extension de navigateur Chrome supprimée depuis longtemps, qui contenait un code vieux de trois ans dans un fichier de type “…”. [Amazon Web Services] S3 bucket avec une vulnérabilité XSS dans ce site. Ainsi, grâce aux yeux supplémentaires de notre programme de primes aux bugs, nous sommes en mesure de trouver des choses qui auraient pu passer inaperçues.”
Le passage à un programme public signifie que tout hacker pourra sonder les dessous de Reddit à la recherche de failles et de vulnérabilités, avec des récompenses monétaires versées par l’intermédiaire de HackerOne. Koch a déclaré que le fait de devenir public était une “évolution naturelle” pour Reddit.
“L’ouverture du programme au public était un de mes objectifs depuis que j’ai rejoint Reddit, et avec la croissance continue de notre effectif d’ingénieurs et du champ d’application, nous avions besoin d’ouvrir le programme pour avoir suffisamment de chercheurs pour couvrir tout Reddit”, a-t-il déclaré. “Et aussi ne pas passer à côté des compétences uniques que chaque chercheur apporte à la table”.
Le programme public sera soutenu par le service de triage de HackerOne, qui reproduit les rapports, offre des conseils de remédiation et aide à tester les corrections mises en œuvre. Ce service sera également intégré à l’équipe de sécurité de Reddit pour lui donner la possibilité de s’appuyer sur l’équipe de recherche de HackerOne en cas de besoin, par exemple pour produire des rapports détaillés sur les bogues soumis, ou pour filtrer et recueillir des informations.
Allison Miller, CISO et VP de la confiance chez Reddit, a déclaré : “Tout le monde chez Reddit joue un rôle important, et c’est ce qui est génial chez Reddit – nous avons construit une culture qui est consciente et qui apprécie la sécurité, et nous donnons à nos développeurs les moyens de prendre des décisions intelligentes concernant les sujets de sécurité.
“Il n’y a jamais assez d’ingénieurs en sécurité pour tout le monde, et le fait de tirer parti de l’intelligence des chercheurs en sécurité indépendants libère des cycles d’ingénierie pour d’autres travaux, puisque nous disposons de cette aide externe supplémentaire pour les tests. Le pouvoir des hackers nous aide à trouver des bogues significatifs dans tous les domaines, qu’il s’agisse de vulnérabilités de sécurité classiques comme XSS, de problèmes de logique commerciale avec les systèmes d’autorisation de Reddit ou de la découverte de documentation contradictoire ou confuse sur nos API et les fonctionnalités du site.”
Miller a déclaré Introduction d’un programme de prime de bogue, qu’il soit public ou privé, ne devrait pas être une entreprise effrayante pour un responsable de la sécurité – à condition qu’il ait fait preuve de diligence raisonnable en amont – et les avantages sont clairs.
“Vous pouvez disposer de toute l’automatisation du monde, mais parfois, le simple fait d’avoir différentes paires d’yeux avec des techniques et des manières différentes permet d’identifier des choses qui, autrement, n’auraient pas été détectées par votre équipe”, a-t-elle déclaré.
“Et ce n’est pas comme si l’absence d’un programme de primes aux bugs faisait disparaître les bugs de sécurité de votre organisation – cela incite simplement les gens à les signaler.
“Par rapport aux rapports de bogues des utilisateurs dans r/bugs qui sont souvent remplis d’images de boguesles rapports du programme de primes aux bugs sont d’une telle fidélité que nos équipes de développement peuvent rapidement les corriger et faire confiance aux recommandations de l’équipe de sécurité.”