多くのオンラインサービスの信頼を揺るがせたセキュリティー侵害事件を受け、Twitterは今日(米国時間9/3)、バグ探し懸賞プログラムを立ち上げることを発表した。これは、セキュリティー侵害を責任を持って報告したセキュリティー研究者に報奨金を支払うもので、バグ探し懸賞プログラム提供会社のHackerOneを通じて実施される。Twitterは、Twitter.com、ads.twitter、モバイル版Twitter、TweetDeck、apps.twitter、および同サービスのiOSとAndroidのアプリに関するバグ報告1件につき最低140ドルを支払う。Twitterは、実際には3ヵ月前からHackerOneと作業していたことが、HackerOneのバグ・タイムラインに書かれているが、Appleのセレブ写真流出事件によってサイバーセキュリティーが一躍世間の関心を呼ぶ中、Twitterは、同社がユーザーの安全を真剣に考えていることを示したかったものと思われる。
Twitterは、「セキュリティー研究者たちの努力と、利用者全員のためにTwitterの安全を維持することにおける彼らの重要性を評価するために、当社は一定のセキュリティー脆弱性の発見に対して報奨金を提供することにした」と語った。既に同プログラムには、44人のハッカーが参加し、Twitterは46件のバグを修正している。
一部の主要企業、例えばFacebookは独自の懸賞プログラムを実施しているが、HackerOneでは、プログラム管理の手間をかけずに、クラウドソースによるバグ探しの恩恵を受けたい会社のために、パッケージソリューションを提供している。他にHackerOneを利用している会社には、Yahoo、Square、MailChimp、Slack、Coinbaseがある。HackerOneは最近900万ドルを調達し、製品の拡張と販売強化を進めている。HackerOneは、元Facebookのセキュリティーチームのメンバーで、自社運営による懸賞付バグ探しプログラムを指揮して多数の脅威から会社を救った、Alex Riceらが共同設立した。
比較してみると、Twitterの最低報賞金額は、Yahooの50ドルや、Slackの100ドルよりも高いが、Coinbaseの1000ドル、Squareの250ドル、さらにはFacebookの社内プログラムが提供する500ドル等と比べるとかなり少ない。
今週のiCloudセレブ写真ハック以降、外部のセキュリティー機構ともっと密に作業すべきだとAppleを非難する声が出ている。しかし、Appleは昨日、強固なパスワードを使ったり、追加の保護対策をとらなかったとして、ユーザーに責任を転嫁した。実際にはAppleは、VUPENを通じて独立セキュリティー専門家の協力を仰いでいるが、もっとオープンなプログラムを実施していれば、ジェニファー・ロレンスをはじめとする、有名人のiCloudアカウントを不正アクセスするために利用された戦術のいくつかは、事前に突き止められていたのではないかという意見もある。おそらく今回のTwitterの行動は、セキュリティー向上のためにコミュニティーを活用する方法について、Appleに再考を促すことになるだろう。
[画像提供:Screenrant via Star Wars]
[原文へ]
(翻訳:Nob Takahashi / facebook)