Opinie: Zoom’s behandeling van het vrijgeven van kwetsbaarheden benadrukt de duistere kant van NDA’s met bug bounty

Ondanks de beste inspanningen van een organisatie om een ​​service te produceren die vlekkeloos en veilig is, kunnen softwarebugs zich voordoen en sommige zijn ernstiger dan andere.

Soms kunnen deze bugs zelfs niet worden opgemerkt door de meest ervaren beveiligingsteams, wat mogelijk kan leiden tot een product dat de digitale beveiliging van zijn gebruikers in gevaar brengt en hen blootstelt aan cyberaanvallen. Veel bedrijven zetten bug bounty-programma's op om cybersecurityonderzoekers in te schakelen om hen te helpen kwetsbaarheden te lokaliseren die onopgemerkt in hun systemen kunnen op de loer liggen.

In wezen hackt de onderzoeker (ethisch) het systeem van de leverancier om eventuele kwetsbaarheden te misbruiken. Als de onderzoeker een kwetsbaarheid ontdekt die een voldoende groot risico inhoudt, kan de onderzoeker een bugbounty ter waarde van honderden dollars of zelfs honderdduizenden dollars verzamelen, afhankelijk van de ernst van de ontdekte bug. Jagers op bugs fungeren vaak als de onbezongen helden van cybersecurity die organisaties verantwoordelijk houden voor het waarborgen van de digitale veiligheid van consumenten.

Wat gebeurt er echter wanneer een organisatie het niet eens is met de cyberveiligheidsonderzoeker over de ernst van een kwetsbaarheid die de onderzoeker heeft ontdekt? Wat gebeurt er als een organisatie probeert om verantwoording te vermijden door de onderzoeker te verbieden zijn bevindingen openbaar te maken, of alleen akkoord gaat met het betalen van een bug premie op voorwaarde dat de onderzoeker in het openbaar zwijgt over een kwetsbaarheid? Wanneer dit gebeurt, kunnen de digitale beveiliging en persoonlijke privacy van consumenten ernstig in gevaar komen.

Bug bounty-programma's zijn essentieel om de systemen waarop de software en applicaties draaien die consumenten dagelijks gebruiken veilig te houden en goed te laten werken. Ze stimuleren cybersecurity-onderzoekers en ethische hackers om naar voren te komen en kwetsbaarheden te vinden. Het spreekt vanzelf dat het eisen van bug premiejagers om een ​​geheimhoudingsovereenkomst (NDA) te ondertekenen ook een belangrijke en effectieve manier is om te voorkomen dat potentieel ernstige kwetsbaarheden openbaar worden gemaakt en worden uitgebuit voordat ze worden gepatcht.

Dat gezegd hebbende, bepalingen van de NDA die verhinderen dat een onderzoeker ooit een kwetsbaarheid openbaar maakt, kunnen bijvoorbeeld een bedrijf weinig prikkels geven om de fout correct aan te pakken, waardoor gebruikers worden blootgesteld aan verschillende cyberdreigingen.

Beveiligingsonderzoekers en bug premiejagers doen geweldig werk om bedrijven verantwoordelijk te houden voor het veilig houden van hun gebruikers. Maar wanneer bedrijven twijfelachtige NDA-tactieken aangaan met beveiligingsonderzoekers om die verantwoordelijkheid te omzeilen, kan de beveiliging van gebruikers een aanzienlijk risico lopen.

In het licht van de recente golf van spraakmakende datalekken en grote veiligheidstoezicht waarbij enkele van de grootste namen in de technologie betrokken zijn, verdient het publiek een veel grotere verantwoordelijkheid van de bedrijven die zij met hun informatie belasten. Wetgevers over de hele wereld zijn begonnen met hardhandig optreden tegen de industrie en hebben wetgeving opgesteld die tot doel heeft consumenten te beschermen en technologiebedrijven verantwoordelijk te houden voor de manier waarop zij met gevoelige gegevens omgaan. Topmanagers in de branche zoals Mark Zuckerberg van Facebook, Bill Gates van Microsoft en Tim Cook van Apple hebben allemaal de noodzaak erkend van betere bescherming van de privacy van consumenten en een groter gevoel van verantwoordelijkheid voor bedrijven. Tegelijkertijd zijn consumenten steeds meer wantrouwen geworden over hoe bedrijven hun privégegevens beheren.

Gezien deze trend, is de omgang met Zoom van de verantwoordelijke openbaarmaking van een cybersecurity-onderzoeker van verschillende ernstige kwetsbaarheden in zijn videovergaderingsapplicatie verbijsterend. In maart nam cybersecurity-onderzoeker Jonathan Leitschuh contact op met Zoom om het bedrijf op de hoogte te stellen van drie belangrijke beveiligingsproblemen in zijn videovergaderingsapplicatie voor Mac-computers. Naast een bug waardoor een kwaadwillende aanvaller een DOS-aanval (Dialion of Service) op de computer van een gebruiker kon uitvoeren, en een bug waardoor een lokale webserver op de Mac van de gebruiker kon worden geïnstalleerd, zelfs nadat de Zoom-toepassing was verwijderd, ontdekte Leitschuh ook een ernstig alarmerende kwetsbaarheid waardoor een kwaadwillende derde partij op afstand en automatisch een nietsvermoedende microfoon en camera van een Mac-gebruiker inschakelde.

Volgens de blogpost van Leitschuh bagatelliseerde Zoom continu de ernst van de kwetsbaarheden tijdens lopende gesprekken. Leitschuh gaf Zoom een ​​industrie-standaard 90-dagen venster om de problemen op te lossen alvorens over te gaan tot openbaarmaking. Hij voorzag Zoom zelfs van wat hij een 'snelle oplossing' noemde om de kwetsbaarheid van de camera tijdelijk te verhelpen terwijl het bedrijf klaar was met het uitrollen van de permanente oplossing. Tijdens een vergadering voorafgaand aan de deadline van 90 dagen voor openbaarmaking, heeft Zoom Leitschuh de voorgestelde oplossing gepresenteerd. De onderzoeker wees er echter snel op dat de voorgestelde oplossing ontoereikend was en gemakkelijk met verschillende middelen kon worden omzeild.

Aan het einde van de deadline van 90 dagen voor openbaarmaking implementeerde Zoom de tijdelijke "quick fix" -oplossing. Leitschuh schreef in zijn blogpost:

"Uiteindelijk slaagde Zoom er niet in snel te bevestigen dat de gerapporteerde kwetsbaarheid echt bestond en konden ze het probleem niet tijdig aan klanten oplossen. Een organisatie van dit profiel en met zo'n grote gebruikersbasis had proactiever moeten zijn in het beschermen van hun gebruikers tegen aanvallen."

In zijn eerste reactie op de openbare onthulling op de bedrijfsblog weigerde Zoom de ernst van de videokwetsbaarheid te erkennen en "uiteindelijk ... besloot de toepassingsfunctionaliteit niet te wijzigen." Hoewel (alleen na het ontvangen van aanzienlijke publieke reacties na de bekendmaking) Zoom stemde ermee in om de lokale webserver die de exploit mogelijk maakte volledig te verwijderen. De eerste reactie van het bedrijf, samen met Leitschuh's verslagen over hoe Zoom ervoor koos om zijn verantwoordelijke openbaarmaking aan te pakken, onthult dat Zoom het probleem niet serieus nam en weinig interesse had om het goed op te lossen het.

Wees stil

Zoom had geprobeerd de stilte van Leitschuh over de kwestie te kopen door hem alleen te laten profiteren van het bug bounty-programma van het bedrijf op voorwaarde dat hij een te strenge NDA ondertekende. Leitschuh heeft het aanbod afgewezen. Zoom betoogde dat de onderzoeker een financiële premie werd aangeboden, maar weigerde dit vanwege "geheimhoudingsvoorwaarden". Wat Zoom verwaarloosde om te vermelden, is dat de specifieke voorwaarden betekenden dat het Leitschuh verboden zou zijn om de kwetsbaarheden bekend te maken, zelfs nadat deze correct waren gepatcht. Dit zou Zoom nul hebben gestimuleerd om een ​​kwetsbaarheid die het bedrijf als onbelangrijk heeft afgewezen, te herstellen.

NDA's zijn gebruikelijk in programma's voor het geven van bugs, maar het eisen van permanente stilte van de onderzoeker is verwant aan het betalen van hush-geld en komt uiteindelijk niet ten goede aan de onderzoeker, noch aan gebruikers, of het publiek in het algemeen. De rol van de NDA moet zijn om het bedrijf een redelijke hoeveelheid tijd te geven om een ​​kwetsbaarheid aan te pakken en op te lossen voordat het wordt blootgesteld aan het publiek en mogelijk wordt uitgebuit door cybercriminelen. Bedrijven hebben een redelijke verwachting van niet-openbaarmaking terwijl ze werken aan het oplossen van een kwetsbaarheid, maar vooral ten behoeve van de gebruiker, niet in de eerste plaats om gezicht te redden voor de rechtbank van de publieke opinie. Onderzoekers daarentegen hebben een redelijke verwachting van een geldelijke beloning en van publieke erkenning voor hun inspanningen. Gebruikers hebben een redelijke verwachting dat de bedrijven waarvan ze de producten gebruiken alles doen om hun privacy te beschermen. Ten slotte heeft het publiek een redelijk recht om te weten welke beveiligingskwetsbaarheden er zijn en wat er wordt gedaan om consumenten te beschermen tegen cyberdreigingen, en wat consumenten kunnen doen om zichzelf te beschermen.

Conflicterende prioriteiten

Het zou moeilijk geweest zijn voor Zoom om deze situatie slechter aan te pakken dan het was. Het bedrijf was zo gefocust op het creëren van een naadloze gebruikerservaring dat het het cruciale belang van het beschermen van de privacy van de gebruiker volledig uit het oog verloor. “Video staat centraal in de Zoom-ervaring. Ons video-first platform is een belangrijk voordeel voor onze gebruikers over de hele wereld, en onze klanten hebben ons verteld dat ze Zoom hebben gekozen voor onze wrijvingsloze videocommunicatie-ervaring, ”verklaarde het bedrijf in zijn antwoord. Maar Zoom nam zijn toevlucht tot het installeren van een lokale webserver op de achtergrond op Mac-computers die een beveiligingsfunctie in de Safari-webbrowser effectief omzeilde om deze "wrijvingsloze" video-ervaring voor zijn gebruikers mogelijk te maken. De betreffende Safari-beveiligingsfunctie vereiste gebruikersbevestiging voordat de app op een Mac werd gestart. De oplossing van Zoom hiervoor was om het opzettelijk te omzeilen en de privacy van zijn gebruikers in gevaar te brengen om hen een klik of twee te besparen.

Pas na de publieke weerslag die het ontving na de onthulling, ondernam het bedrijf zinvolle actie. De eerste reactie van het bedrijf suggereerde dat het niet van plan was de functionaliteit van de applicatie te veranderen, zelfs niet in het licht van de grote kwetsbaarheden van de applicatie. Het lijkt erop dat het bedrijf bereid was om gebruikerservaring boven gebruikersbeveiliging te stellen. Hoewel een soepele gebruikerservaring ongetwijfeld voordelig is voor elke online applicatie, mag dit zeker niet ten koste gaan van beveiliging en privacy.

Tot eer van het bedrijf erkent mede-oprichter en CEO Eric S. Yuan later dat Zoom de situatie slecht heeft aangepakt en zich ertoe heeft verbonden om het in de toekomst beter te doen. Yuan verklaarde in een blogpost dat "we de situatie verkeerd hebben ingeschat en niet snel genoeg hebben gereageerd - en dat is onze taak. We nemen het volledige eigendom en we hebben veel geleerd. Wat ik u kan vertellen, is dat we de beveiliging van gebruikers ongelooflijk serieus nemen en dat we van harte zijn toegewijd om het goede te doen door onze gebruikers, "en ook dat" ons huidige escalatieproces duidelijk niet goed genoeg was in dit geval. We hebben stappen gezet om ons proces voor het ontvangen, escaleren en afsluiten van alle toekomstige beveiligingsgerelateerde problemen te verbeteren. ”

"we hebben de situatie verkeerd ingeschat en hebben niet snel genoeg gereageerd - en dat is onze taak.

Uiteindelijk blijft echter de realiteit dat de onderzoeker had ingestemd met de voorwaarden van de NDA die hem door Zoom was aangeboden en het hem was verboden zijn bevindingen bekend te maken, we waarschijnlijk nooit iets over de kwetsbaarheid hebben gehoord. Erger nog, het bedrijf had het probleem waarschijnlijk nooit kunnen oplossen, waardoor miljoenen gebruikers kwetsbaar werden voor een ernstige inbreuk op de privacy.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me