Lausunto: Zoomin käsittelemä haavoittuvuuden paljastaminen korostaa bug bounty -NDA: n tummaa puolta

Huolimatta organisaation parhaista pyrkimyksistä tuottaa virheetöntä ja turvallista palvelua, ohjelmistovirheitä voi tapahtua ja tapahtuu, ja jotkut ovat vakavampia kuin toiset.

Joskus nämä virheet voivat jäädä huomaamatta jopa kokeneimmilla turvallisuusryhmillä, mikä voi johtaa tuotteeseen, joka vaarantaa käyttäjiensä digitaalisen tietoturvan ja jättää heidät alttiiksi verkkohyökkäyksille. Monet yritykset ovat perustaneet bug-palkkio-ohjelmia tietoverkkoturvallisuustutkijoiden palkkaamiseksi auttamaan heitä löytämään haavoittuvuuksia, jotka voivat piiloutua järjestelmiinsä huomaamatta.

Pohjimmiltaan tutkija tunkeutuu (eettisesti) myyjän järjestelmään yrittääkseen hyödyntää mahdollisia haavoittuvuuksia. Jos tutkija havaitsee haavoittuvuuden, joka aiheuttaa riittävän merkittävän riskin, tutkija voi kerätä virheen palkkion, jonka arvo on satoja tai jopa satoja tuhansia dollareita, havaitun virheen vakavuudesta riippuen. Virhemetsästäjät toimivat usein kyberturvallisuuden yllättävinä sankarina pitäen järjestöjä vastuussa kuluttajien digitaalisen turvallisuuden takaamisesta..

Mitä kuitenkin tapahtuu, kun organisaatio on eri mieltä kyberturvallisuustutkijan kanssa tutkijan paljastaman haavoittuvuuden vakavuudesta? Mitä tapahtuu, kun organisaatio yrittää välttää vastuuvelvollisuutta kieltämällä tutkijan julkistamasta löydöksensä tai sitoutuu maksamaan virhekorvauksen sillä ehdolla, että tutkija on julkisesti hiljaa haavoittuvuudesta? Kun näin tapahtuu, kuluttajien digitaalinen turvallisuus ja henkilökohtainen yksityisyys voivat olla vakavasti vaarassa.

Vikapalkkio-ohjelmat ovat välttämättömiä pitämään järjestelmät, jotka käyttävät ohjelmistoja ja sovelluksia, joita kuluttajat käyttävät päivittäin, turvallisina ja toimivina. Ne kannustavat tietoverkkoturvallisuuden tutkijoita ja eettisiä hakkereita ilmoittautumaan ja löytämään haavoittuvuuksia. On kohtuullista, että bug-palkkionmetsästäjien velvoittaminen allekirjoittamaan salassapitosopimus on myös tärkeä ja tehokas tapa estää mahdollisesti vakavia haavoittuvuuksia paljastamasta julkisesti ja hyödyntämästä ennen niiden korjaamista.

NDA: n säännökset, jotka estävät tutkijaa koskaan julkistamasta haavoittuvuutta, voivat esimerkiksi tarjota yritykselle vain vähän kannustinta korjaamaan vika asianmukaisesti, jolloin käyttäjät altistuvat erilaisille kybertreakoille..

Turvallisuustutkijat ja palkkionmetsästäjät tekevät hienoa työtä pitämällä yrityksiä vastuussa käyttäjiensä pitämisestä turvallisina. Mutta kun yritykset harjoittavat kyseenalaista NDA-taktiikkaa turvallisuustutkijoiden kanssa tämän vastuun piilottamiseksi, käyttäjien turvallisuus voi olla vaarassa.

Viimeaikaisten korkean profiilin tietojen rikkomusten ja merkittävien tietoturvavalvonnan aallon valossa, joissa on mukana joitakin tekniikan suurimpia nimiä, yleisö ansaitsee huomattavasti suuremman vastuun yrityksiltä, ​​joille tiedot on uskottu. Lainsäätäjät ympäri maailmaa ovat alkaneet torjua alaa ja ovat laatineet lainsäädäntöä, jolla pyritään suojelemaan kuluttajia pitäen teknologiayrityksiä vastuussa siitä, kuinka he käsittelevät arkaluontoisia tietoja. Alan korkeimmat johtajat, kuten Facebookin Mark Zuckerberg, Microsoftin Bill Gates ja Applen Tim Cook, ovat kaikki tunnustaneet tarpeen parantaa kuluttajien yksityisyyden suojaa ja lisätä yritysten vastuuvelvollisuutta. Samanaikaisesti kuluttajat ovat epävarmoja siitä, miten yritykset hallitsevat yksityisiä tietojaan.

Kun otetaan huomioon tämä suuntaus, hämmästyttävää on, että Zoomin käsittely neuvotteluturvallisuustutkijan vastuulla useiden videoneuvottelusovelluksen vakavien haavoittuvuuksien paljastamisesta. Maaliskuussa kyberturvallisuustutkija Jonathan Leitschuh otti yhteyttä Zoomiin ilmoittaakseen yritykselle kolmesta merkittävästä tietoturvahaarasta, jotka ovat olemassa sen videoneuvottelusovelluksessa Mac-tietokoneille. Sen virheen lisäksi, jonka avulla pahantahtoinen hyökkääjä pystyi käynnistämään palvelunestohyökkäyksen käyttäjän koneeseen, ja virheen, joka jätti paikallisen verkkopalvelimen asennettuna käyttäjän Maciin Zoom-sovelluksen asennuksen poistamisen jälkeen, Leitschuh paljasti myös vakavasti hälyttävä haavoittuvuus, jonka ansiosta pahantahtoinen kolmannen osapuolen yksikkö voi etäkäyttää ja ottaa automaattisesti käyttöön epätietoisen Mac-käyttäjän mikrofonin ja kameran.

Leitschuh'n blogiviestin mukaan Zoom pienensi jatkuvasti haavoittuvuuksien vakavuutta meneillään olevien keskustelujen aikana. Leitschuh antoi Zoomille teollisuusstandardin 90 päivän ikkunan, jossa ongelmat voidaan ratkaista ennen julkistamista. Hän jopa toimitti Zoomille ns. Pikakorjausratkaisun kameran haavoittuvuuden tilapäiseksi korjaamiseksi, kun yritys lopetti pysyvän korjauksen käyttöönoton. Zoom esitteli Leitschuhille ehdotuksensa korjaukseksi kokouksessa, joka edelsi 90 päivän julkista julkistamisen määräaikaa. Tutkija huomautti kuitenkin nopeasti, että ehdotettu ratkaisu oli riittämätön ja että se voidaan helposti ohittaa eri tavoin.

90 päivän julkisen julkistamisen määräajan lopussa Zoom otti käyttöön väliaikaisen ”pikakorjaus” -ratkaisun. Leitschuh kirjoitti blogiviestissään:

"Viime kädessä Zoom epäonnistui nopeasti vahvistaessaan, että ilmoitettu haavoittuvuus todella oli, ja he eivät onnistuneet korjaamaan asiakkaille toimitettua ongelmaa ajoissa. Tämän profiilin organisaation ja niin suuren käyttäjäkunnan kanssa olisi pitänyt olla aktiivisempi suojaamaan käyttäjiään hyökkäyksiltä."

Alkuperäisessä vastauksessaan yrityksen blogin julkiseen julkistamiseen Zoom kieltäytyi tunnistamasta videoheikkouden vakavuutta ja "lopulta ... päätti olla muuttamatta sovellusominaisuuksia." Vaikka (vasta saatuaan merkittävän julkisen vastavälin julkistamisen jälkeen) Zoom suostui poistamaan kokonaan hyödynnettävän paikallisen verkkopalvelimen. Yrityksen alkuperäinen vastaus yhdessä Leitschuhin kertomusten kanssa siitä, kuinka Zoom päätti puuttua vastuulliseen paljastamiseen, paljastaa, että Zoom ei ottanut asiaa vakavasti ja että hänellä ei ollut kiinnostusta asianmukaiseen ratkaisuun. se.

Ole hiljaa

Zoom oli yrittänyt ostaa Leitschuhin hiljaisuuden asiasta antamalla hänelle mahdollisuuden hyötyä yrityksen virherahoitusohjelmasta vain sillä ehdolla, että hän allekirjoittaa liian tiukan NDA: n. Leitschuh hylkäsi tarjouksen. Zoom väitti, että tutkijalle tarjottiin taloudellista palkkioita, mutta se kielsi sen "julkistamatta jättämisen ehdoista". Zoom jätti mainitsematta sen, että erityiset termit tarkoittivat, että Leitschuh olisi kielletty paljastamasta haavoittuvuuksia, vaikka ne olisivatkin asianmukaisesti korjattu. Tämä olisi antanut Zoom nolla-kannustimen korjata haavoittuvuus, jonka yritys hylkäsi merkityksettömänä.

NDA: t ovat yleinen käytäntö bug-palkkio-ohjelmissa, mutta pysyvän hiljaisuuden vaatiminen tutkijalta on samanlainen kuin tilapäisen rahan maksaminen, ja lopulta siitä ei ole hyötyä tutkijalle, eikä se hyödytä käyttäjiä tai yleistä yleisöä. NDA: n tehtävänä pitäisi olla antaa yritykselle kohtuullinen aika haavoittuvuuden selvittämiseen ja korjaamiseen ennen kuin se altistetaan yleisölle ja kyberrikolliset voivat mahdollisesti hyödyntää sitä. Yrityksillä on kohtuullinen luottamus tietojen julkistamatta jättämiseen heti haavoittuvuuden korjaamiseksi, mutta ensisijaisesti käyttäjän eduksi, ei ensisijaisesti kasvot pelastamiseksi yleisen mielipiteen tuomioistuimessa. Tutkijoilla taas on kohtuullinen odotus rahalliselle palkinnolle sekä julkiselle tunnustukselle ponnisteluistaan. Käyttäjillä on kohtuullinen luottamus siihen, että yritykset, joiden tuotteita he käyttävät, tekevät kaikkensa yksityisyyden suojaamiseksi. Viimeinkin, kansalaisilla on kohtuullinen oikeus tietää, mitä tietoturva-aukkoja on olemassa ja mitä tehdään kuluttajien suojelemiseksi verkkouhilta ja mitä kuluttajat voivat tehdä suojellakseen itseään.

Ristiriitaiset prioriteetit

Zoomin olisi ollut vaikeaa käsitellä tätä tilannetta huonommin kuin se. Yritys oli niin keskittynyt saumattoman käyttökokemuksen luomiseen, että se menetti täysin huomion käyttäjän yksityisyyden suojaamisen kriittisestä merkityksestä. ”Video on keskeinen Zoom-kokemuksen kannalta. Ensimmäinen videoalustamme on tärkeä etu käyttäjillemme ympäri maailmaa, ja asiakkaamme ovat kertoneet meille, että he valitsevat Zoomin kitkattoman videoliikennekokemuksemme mukaan ”, yritys totesi vastauksessaan. Mutta Zoom asettui asentamaan paikallisen web-palvelimen taustalle Mac-tietokoneisiin, jotka ohittivat tehokkaasti Safari-selaimen tietoturvaominaisuuden helpottaakseen tätä “kitkaamatonta” videokokemusta käyttäjilleen. Kyseinen Safari-suojausominaisuus vaati käyttäjän vahvistusta ennen sovelluksen käynnistämistä Macilla. Zoomin ratkaisu tähän oli ohittaa se tarkoituksella ja asettaa käyttäjien tietosuoja vaaraan pelastaakseen heille yhden tai yhden napsautuksen..

Vasta julkistamisen jälkeen saamansa tiedon julkistamisen jälkeen yritys ryhtyi tarkoituksenmukaisiin toimiin. Yrityksen alkuperäinen vastaus ehdotti, että sillä ei ollut aikomusta muuttaa sovelluksen toiminnallisuutta edes sovelluksen huomattavien haavoittuvuuksien vuoksi. Vaikuttaa siltä, ​​että yritys oli halukas priorisoimaan käyttökokemuksen käyttäjien tietoturvan sijaan. Vaikka sujuvasta käyttökokemuksesta on epäilemättä hyötyä kaikille online-sovelluksille, sen ei todellakaan pitäisi tulla tietoturvan ja yksityisyyden kustannuksella.

Yhtiön perustaja ja toimitusjohtaja Eric S. Yuan myönsi myöhemmin, että Zoom käsitteli tilannetta huonosti ja sitoutui toimimaan paremmin eteenpäin. Yuan totesi blogiviestissä, että ”arvioimme tilannetta väärin eikä reagoinut riittävän nopeasti - ja se on meille. Otamme täyden omistajuuden ja olemme oppineet paljon. Voin kertoa sinulle, että otamme käyttäjien tietoturvaa uskomattoman vakavasti ja olemme täysin sydämestämme sitoutuneita käyttäjien tekemiin oikeisiin toimiin ", lisääen myös, että" nykyinen laajenemisprosessimme ei selvästikään ollut riittävän hyvää tässä tapauksessa. Olemme ryhtyneet parantamaan prosessiamme kaikkien tulevien turvallisuuteen liittyvien huolenaiheiden vastaanottamiseksi, laajentamiseksi ja sulkemiseksi. "

"arvioimme tilannetta väärin eikä reagoinut riittävän nopeasti - ja se on meille.

Viime kädessä tosiasia kuitenkin säilyy, jos tutkija olisi suostunut Zoomin hänelle esittämiin NDA: n ehtoihin ja häntä kielletty paljastamasta havaintojaan, emme ole todennäköisesti koskaan voineet kuulla mitään haavoittuvuudesta. Vielä pahempaa, yritys ei olisi todennäköisesti koskaan korjannut ongelmaa, jolloin miljoonat käyttäjät ovat alttiita vakavalle yksityisyyden loukkaamiselle.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me