Twitter、HackerOneを通じてバグ探し懸賞プログラムを開始

多くのオンラインサービスの信頼を揺るがせたセキュリティー侵害事件を受け、Twitterは今日(米国時間9/3)、バグ探し懸賞プログラムを立ち上げることを発表した。これは、セキュリティー侵害を責任を持って報告したセキュリティー研究者に報奨金を支払うもので、バグ探し懸賞プログラム提供会社のHackerOneを通じて実施される。Twitterは、Twitter.com、ads.twitter、モバイル版Twitter、TweetDeck、apps.twitter、および同サービスのiOSとAndroidのアプリに関するバグ報告1件につき最低140ドルを支払う。Twitterは、実際には3ヵ月前からHackerOneと作業していたことが、HackerOneのバグ・タイムラインに書かれているが、Appleのセレブ写真流出事件によってサイバーセキュリティーが一躍世間の関心を呼ぶ中、Twitterは、同社がユーザーの安全を真剣に考えていることを示したかったものと思われる。

Twitterは、「セキュリティー研究者たちの努力と、利用者全員のためにTwitterの安全を維持することにおける彼らの重要性を評価するために、当社は一定のセキュリティー脆弱性の発見に対して報奨金を提供することにした」と語った。既に同プログラムには、44人のハッカーが参加し、Twitterは46件のバグを修正している。

一部の主要企業、例えばFacebookは独自の懸賞プログラムを実施しているが、HackerOneでは、プログラム管理の手間をかけずに、クラウドソースによるバグ探しの恩恵を受けたい会社のために、パッケージソリューションを提供している。他にHackerOneを利用している会社には、Yahoo、Square、MailChimp、Slack、Coinbaseがある。HackerOneは最近900万ドルを調達し、製品の拡張と販売強化を進めている。HackerOneは、元Facebookのセキュリティーチームのメンバーで、自社運営による懸賞付バグ探しプログラムを指揮して多数の脅威から会社を救った、Alex Riceらが共同設立した。

比較してみると、Twitterの最低報賞金額は、Yahooの50ドルや、Slackの100ドルよりも高いが、Coinbaseの1000ドル、Squareの250ドル、さらにはFacebookの社内プログラムが提供する500ドル等と比べるとかなり少ない。

今週のiCloudセレブ写真ハック以降、外部のセキュリティー機構ともっと密に作業すべきだとAppleを非難する声が出ている。しかし、Appleは昨日、強固なパスワードを使ったり、追加の保護対策をとらなかったとして、ユーザーに責任を転嫁した。実際にはAppleは、VUPENを通じて独立セキュリティー専門家の協力を仰いでいるが、もっとオープンなプログラムを実施していれば、ジェニファー・ロレンスをはじめとする、有名人のiCloudアカウントを不正アクセスするために利用された戦術のいくつかは、事前に突き止められていたのではないかという意見もある。おそらく今回のTwitterの行動は、セキュリティー向上のためにコミュニティーを活用する方法について、Appleに再考を促すことになるだろう。

[画像提供:Screenrant via Star Wars

[原文へ]

(翻訳:Nob Takahashi / facebook


Googleのバグ発見謝礼制度の累積支払い賞金額が200万ドルを突破, 賞金額増額へ

Googleのバグ発見報奨制度は、今日の同社の発表によると、これまでの報奨金提供額の総額が200万ドルを突破した。この事業がスタートしたのは3年前だが、これまでの報奨の対象となったバグ報告は、Chromiumと同社のWebアプリケーションにおける2000件あまりのセキュリティ関連バグだ。200万ドルのうち約100万ドルがChromiumのバグ発見者へ、残る100万ドルがWebアプリケーションのバグを見つけた者へ行った。

今日の発表と合わせて同社は、一部の賞金額を大幅に上げた。“これまで賞金額1000ドルとされたバグは、今後は、最大5000ドルまでとする”、とGoogleの金庫番Chris EvansとAdam Meinが今日の発表声明で書いている。また賞金の最高額は最大1万ドルに引き上げられ、それはバグの性質を特定せずGoogleがケースバイケースで決める。さらに、バグ報告とともにそのパッチを提供した者は、賞金が増額される

今日の発表の前には、Web脆弱性発見報奨金事業でも同様の増額が行われ、クロスサイトスクリプティングバグは7500ドル、GmailとGoogle Walletのバグおよび認証バイパスバグは5000ドルとなった。Webアプリケーションのバグ報告の賞金の最低レベルは500ドルから3133.7ドルに上がった。

たしかに、バグ報告はお金になる。Facebookも1週間前に、同様の発表を行った。同社がこれまで支払った賞金総額は、100万ドルあまりだそうだ。長年この種の事業に抵抗を示していたMicrosoftも最近ついに折れて、賞金上限額10万ドルの報奨制度を発足させた。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))