شرکت دراپباکس توانست شناسایی ۲۶۴ آسیبپذیری را در نشست کشف باگ سنگاپور ارائه دهد.
۰
منبع : سایبربان
شرکت دراپباکس توانست شناسایی ۲۶۴ آسیبپذیری را در نشست کشف باگ سنگاپور ارائه دهد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، دراپباکس (Dropbox) با اختصاص ۳۱۹ هزار و ۳۰۰ دلار در نشست یکروزه کشف باگ در سنگاپور، توانست ۲۶۴ آسیبپذیری بیابد. در این نشست، هکرها از ۱۰ کشور جهان گردهم آمدهبودند. این رویداد به میزبانی پلتفرم افشای شکافهای امنیتی هکروان (HackerOne) برگزار شد. در این نشست، ۴۵ عضو از کشورهایی مانند ژاپن، هند، استرالیا، هنگکنگ و سوئد حاضر بودند که برخی از آنها ۱۹ سال سن داشتند و برای نفوذ به سیستمهای هدف دراپباکس در این شهر حضور یافتند.
پیش از این، فروشندگان ذخیرهسازی دادههای ابری، بخشهایی از حمله شناسایی شده بهوسیله اعضای هکروان را به نمایش گذاشتند و چندین اشکال بالقوه را قبل از رویداد زنده ارائه کردند. به گفته سخنگوی شرکت، تمرکز روی دراپباکس و خرید پلتفرم کاری دیجیتال اخیرش به نام HelloSign بود.
سخنگوی دراپباکس گفت که شرکت درحال حاضر، برنامه شکار باگ (bug bounty) را در دستور کار خود دارد و فرایندی برای بررسی نقصهای گزارش شده از این ابتکارات، تعیین شدت آنها و اقدامات لازم ایجاد کردهاست.
وی در گفتگویی اعلام کرد: مانند همه برنامههای شکار باگ امیدواریم که از دیدگاههای منحصربهفرد و تلاشهای شرکتکنندگان، به منظور کمک به تداوم امنیت محصولاتمان استفاده کنیم. درحالی که اکنون یکی از فراگیرترین زمینههای صنعت را در اختیار داریم. آن را برای رویداد زنده هک در سنگاپور گسترش دادیم. دراپباکس قویاً تمام شرکتها را به سرمایهگذاری در برنامه شکار باگ، تشویق و به این برنامه به عنوان نشانه تکامل امنیت فنی نگاه میکند.
هکروان از زمان تأسیس در سال ۲۰۱۲، بیش از ۱۳۰۰ برنامهنویس را گردهم آورده و حداقل ۴۹ میلیون دلار به هکرها پرداخت کردهاست. در حال حاضر بیش از ۳۹۰ هزار هکر در شبکه این شرکت ثبت شدهاند. این شرکت در سنگاپور، با مشتریانی مانند وزارت دفاع، GovTech و Grab همکاری میکند.
مارتین میکوس (Marten Mickos)، مدیرعامل هکروان، ابراز امیدواری كرد كه تا پایان سال ۲۰۲۰، مبلغ یکصد میلیون دلار از برنامه های شکار مختلف بهدست خواهدآمد. این صحبت، همزمان با چشمانداز وی، مبنی بر همکاری با یکمیلیون هکر در پلتفرمش بیان شد. انتظار میرود که این شرکت، به شناسایی مشتریان و رفع بیش از ۲۰۰ هزار آسیبپذیری ازجمله ۱۶ هزار باگ بحرانی کمک کند.
هفتماه پیش، شرکت هکروان، دفتر خود را در سنگاپور افتتاح کرد که به عنوان دفتر مرکزی در آسیا-اقیانوسیه فعالیت و از دیگر مشتریان در چین، استرالیا و تایلند پشتیبانی میکند.
میکوس در پاسخ به تفاوت خدمات این شرکت با دیگر شرکتهای مشاوره امنیتی اظهار داشت: اگر کسبوکارها، مشکل خاصی داشتهباشند، نقش مشاوران ثالث پررنگتر میشود. قدرت جامعه ما، تنوع آن است. هکرهای ما، بدون تعصب هستند و میدانند که درصورت پیدا کردن مشکل، جایزه دریافت میکنند، بنابراین به کارشان ادامه میدهند.
لوک تاکر (Luke Tucker)، مدیر ارشد جامعه و محتوای هکروان، توضیح داد که این شرکت بهمنظور تعیین تعداد هکرهای حاضر در یک رویداد با مشتریان خود همکاری میکند. مشتریان نیز تشویق میشوند تا تیم امنیتی خود را در کشف باگ شرکت دهند.
تاکر خاطرنشان کرد: مشتری میتواند مقدار باگهای مدنظرش را تعیین و هکروان نیز کمیسیون پرداخت را دریافت کند. تا به امروز، بالاترین میزان پرداختی در رویدادی یکروزه، ۴۰۰ هزار دلار بودهاست و برنامههای چندروزه میتوانند شاهد جوایزی بیش از ۵۰۰ هزار دلار باشند. مشتریان هکروان نیز اشتراک میخرند تا خدماتی مانند تیم ردهبندی شده خود را – مسئول بررسی و اعتبارسنجی اشکالات کشفشده در یک برنامه – دریافت کنند.
برای انتخاب هکرهای شرکتکننده در برنامه، هکروان موقعیت هکر را در شرکت برای ارزیابی انسجام و مشخصات از جمله دقت هکرها و تأثیر اشکالات موجود میسنجد. تاکر معتقد است که هکروان بازیهای پرچم طراحی شده برای شناسایی مهارتهای هکرها در یک حوزه خاص مانند برنامههای تلفن همراه را اجرا میکند.
در میان افراد حاضر در رویداد کشف باگ سنگاپور، جک کیبِل (Jack Cable)، دانشجوی فعلی علوم رایانه در دانشگاه استنفورد، نیز به چشم میخورد. کیبِل ۱۹ ساله، یکی از اعضای هکروان در سه سال گذشته بوده که در بیش از ۱۰۰ برنامه کشف اشکال برای گوگل، فیسبوک و وزارت دفاع آمریکا شرکت کرد. وی تا به امروز، بیش از ۲۵۰ آسیبپذیری ازجمله بیش از ۳۰ مورد در نیروی هوایی ایالات متحده کشف کردهاست. کشفیات بهدست آمده وی مربوط به تحصیلات دانشگاهیاش بودند، اما از بیان میزان موارد جمعآوری شده امتناع میورزد. پیش از برگزاری رویداد هک دراپباکس، کیبِل ۱۰ ایراد را شناسایی کردهبود.
کانگ آنگ (Kaung Htet Aung)، مهندس امنیتی ۲۶ ساله و عضو هکروان که از میانمار در این رویداد شرکت کرد در بیش از ۴۰ برنامه ازجمله رویداد زنده نیویورک از ۲ سال قبل و پیوستنش به شرکت نیز در رویداد دراپباکس حاضر بود. وی در حال حاضر ۱۰۰ آسیبپذیری و ۵ مورد پیش از شروع این رویداد کشف کردهاست.
کانگ که تخصص خود را در رشته مهندسی کامپیوتر دانشگاه ملی سنگاپور گرفت گفت که مهارتهای هک را با شرکت در مسابقات Flag games کسب کردهاست.
کیبِل در پاسخ به ضعیفترین و قویترین سیستمها در برابر نفوذ اعلام کرد: این مسئله به تکامل سیستمها و جهتگیریهای امنیتی سازمان بستگی دارد. صرفنظر از اینکه هر سازمانی آسیبپذیریهایی دارد. اگر با دقت بررسی کنید، این نقصها را پیدا خواهیدکرد. آنچه بسیار اهمیت دارد، این است که چگونه سازمانها به نواقص کشف شده واکنش نشان میدهند. کسبوکارها باید نواقص سیستمهای خود را شناسایی و آنها را رفع کنند. تنها در این صورت امنیت سیستمها حفظ میشود.
میکوس ضمن تأیید صحبتهای کیبِل اظهار داشت: هر سیستم، نواقصی دارد و شرکتها باید همیشه برای رفع آنها تلاش کنند. نباید روی بیشترین جایی که آسیبپذیر هستید تمرکز کنید، بلکه باید روی جایی تمرکز داشتهباشید که ارزشهایی مانند دادههای مشتری یا اطلاعات پزشکی در خطر هستند. به عنوان مثال، دستگاههای اینترنت اشیا معمولاً ضعیف محافظت میشوند، اما اغلب حاوی اطلاعات بسیار حساس نیستند.
کیبِل و کانگ، هر دو از شرکتها خواستند تا همیشه برای حفظ امنیت از نقطه شروع و در طول کل چرخه عمر توسعه نرمافزارهایشان تلاش کنند.
دانشجوی فعلی علوم رایانه دانشگاه استنفورد توضیح داد: وقتی کسبوکارها نگرانی مسائل دیگر را دارند، این کار سخت خواهدبود، اما آنها باید بهواسطه توسعه نرمافزارها و اقدامات پیشگیرانه، موقعیت امنیتی بهتری را بهوجود آورند.
کانگ با تأیید سخنان او گفت: سازمانها باید آزمایشها و بازنگریهای امنیتی را به عنوان بخشی از جدول زمانی توسعه نرمافزارهایشان انجام دهند. با این توسعه، امنیت در زمان مناسب بهوجود میآید و اطمینان حاصل میشود که ویژگیهای اضافی ناایمن تولید نشدهاند.
به گفته تاکر، ۴ یا ۵ مورد نمونه پیشنهاد از سوی شرکتهای حاضر در برنامههای کشف نقص به اعضای هکروان ارائه شده است. دراپباکس نیز اعلام کرد که بهشدت روی ایجاد تیم امنیتی خود و آموزش بهترین شیوههای امنیتی و چشمانداز تهدید فعلی به کارکنانش سرمایهگذاری میکند. این کار باعث میشود هر فردی در سازمان آمادگی بهتری در برابر حملاتی نظیر اسپیر فیشینگ و مهندسی اجتماعی داشتهباشد.
سخنگوی شرکت دراپباکس از صحبت در مورد میزان هکهای شناسایی و مسدود شده امتناع کرد؛ اما شرح داد که پایگاه کاربری جهانی بیش از ۵۰۰ میلیون نفر به معنای چالشهای پیش روی دیگر شرکتها در جهان خواهد بود. وی همچنین جزییات تلاشهای هک انجام شده با مبدأ آسیا یا دارای کاربرانی در این قاره را فاش نکرد.
دراپباکس برای سال مالی ۲۰۱۸ درآمد ۱،۳۹ میلیارد دلاری، ۲۶ درصد بیش از سال قبل، ثبت و بهطور متوسط ۱۱۷.۶۴ دلار درآمد حاصل از هر کاربر پرداختی را جمعآوری کرد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، دراپباکس (Dropbox) با اختصاص ۳۱۹ هزار و ۳۰۰ دلار در نشست یکروزه کشف باگ در سنگاپور، توانست ۲۶۴ آسیبپذیری بیابد. در این نشست، هکرها از ۱۰ کشور جهان گردهم آمدهبودند. این رویداد به میزبانی پلتفرم افشای شکافهای امنیتی هکروان (HackerOne) برگزار شد. در این نشست، ۴۵ عضو از کشورهایی مانند ژاپن، هند، استرالیا، هنگکنگ و سوئد حاضر بودند که برخی از آنها ۱۹ سال سن داشتند و برای نفوذ به سیستمهای هدف دراپباکس در این شهر حضور یافتند.
پیش از این، فروشندگان ذخیرهسازی دادههای ابری، بخشهایی از حمله شناسایی شده بهوسیله اعضای هکروان را به نمایش گذاشتند و چندین اشکال بالقوه را قبل از رویداد زنده ارائه کردند. به گفته سخنگوی شرکت، تمرکز روی دراپباکس و خرید پلتفرم کاری دیجیتال اخیرش به نام HelloSign بود.
سخنگوی دراپباکس گفت که شرکت درحال حاضر، برنامه شکار باگ (bug bounty) را در دستور کار خود دارد و فرایندی برای بررسی نقصهای گزارش شده از این ابتکارات، تعیین شدت آنها و اقدامات لازم ایجاد کردهاست.
وی در گفتگویی اعلام کرد: مانند همه برنامههای شکار باگ امیدواریم که از دیدگاههای منحصربهفرد و تلاشهای شرکتکنندگان، به منظور کمک به تداوم امنیت محصولاتمان استفاده کنیم. درحالی که اکنون یکی از فراگیرترین زمینههای صنعت را در اختیار داریم. آن را برای رویداد زنده هک در سنگاپور گسترش دادیم. دراپباکس قویاً تمام شرکتها را به سرمایهگذاری در برنامه شکار باگ، تشویق و به این برنامه به عنوان نشانه تکامل امنیت فنی نگاه میکند.
هکروان از زمان تأسیس در سال ۲۰۱۲، بیش از ۱۳۰۰ برنامهنویس را گردهم آورده و حداقل ۴۹ میلیون دلار به هکرها پرداخت کردهاست. در حال حاضر بیش از ۳۹۰ هزار هکر در شبکه این شرکت ثبت شدهاند. این شرکت در سنگاپور، با مشتریانی مانند وزارت دفاع، GovTech و Grab همکاری میکند.
مارتین میکوس (Marten Mickos)، مدیرعامل هکروان، ابراز امیدواری كرد كه تا پایان سال ۲۰۲۰، مبلغ یکصد میلیون دلار از برنامه های شکار مختلف بهدست خواهدآمد. این صحبت، همزمان با چشمانداز وی، مبنی بر همکاری با یکمیلیون هکر در پلتفرمش بیان شد. انتظار میرود که این شرکت، به شناسایی مشتریان و رفع بیش از ۲۰۰ هزار آسیبپذیری ازجمله ۱۶ هزار باگ بحرانی کمک کند.
هفتماه پیش، شرکت هکروان، دفتر خود را در سنگاپور افتتاح کرد که به عنوان دفتر مرکزی در آسیا-اقیانوسیه فعالیت و از دیگر مشتریان در چین، استرالیا و تایلند پشتیبانی میکند.
میکوس در پاسخ به تفاوت خدمات این شرکت با دیگر شرکتهای مشاوره امنیتی اظهار داشت: اگر کسبوکارها، مشکل خاصی داشتهباشند، نقش مشاوران ثالث پررنگتر میشود. قدرت جامعه ما، تنوع آن است. هکرهای ما، بدون تعصب هستند و میدانند که درصورت پیدا کردن مشکل، جایزه دریافت میکنند، بنابراین به کارشان ادامه میدهند.
لوک تاکر (Luke Tucker)، مدیر ارشد جامعه و محتوای هکروان، توضیح داد که این شرکت بهمنظور تعیین تعداد هکرهای حاضر در یک رویداد با مشتریان خود همکاری میکند. مشتریان نیز تشویق میشوند تا تیم امنیتی خود را در کشف باگ شرکت دهند.
تاکر خاطرنشان کرد: مشتری میتواند مقدار باگهای مدنظرش را تعیین و هکروان نیز کمیسیون پرداخت را دریافت کند. تا به امروز، بالاترین میزان پرداختی در رویدادی یکروزه، ۴۰۰ هزار دلار بودهاست و برنامههای چندروزه میتوانند شاهد جوایزی بیش از ۵۰۰ هزار دلار باشند. مشتریان هکروان نیز اشتراک میخرند تا خدماتی مانند تیم ردهبندی شده خود را – مسئول بررسی و اعتبارسنجی اشکالات کشفشده در یک برنامه – دریافت کنند.
برای انتخاب هکرهای شرکتکننده در برنامه، هکروان موقعیت هکر را در شرکت برای ارزیابی انسجام و مشخصات از جمله دقت هکرها و تأثیر اشکالات موجود میسنجد. تاکر معتقد است که هکروان بازیهای پرچم طراحی شده برای شناسایی مهارتهای هکرها در یک حوزه خاص مانند برنامههای تلفن همراه را اجرا میکند.
در میان افراد حاضر در رویداد کشف باگ سنگاپور، جک کیبِل (Jack Cable)، دانشجوی فعلی علوم رایانه در دانشگاه استنفورد، نیز به چشم میخورد. کیبِل ۱۹ ساله، یکی از اعضای هکروان در سه سال گذشته بوده که در بیش از ۱۰۰ برنامه کشف اشکال برای گوگل، فیسبوک و وزارت دفاع آمریکا شرکت کرد. وی تا به امروز، بیش از ۲۵۰ آسیبپذیری ازجمله بیش از ۳۰ مورد در نیروی هوایی ایالات متحده کشف کردهاست. کشفیات بهدست آمده وی مربوط به تحصیلات دانشگاهیاش بودند، اما از بیان میزان موارد جمعآوری شده امتناع میورزد. پیش از برگزاری رویداد هک دراپباکس، کیبِل ۱۰ ایراد را شناسایی کردهبود.
کانگ آنگ (Kaung Htet Aung)، مهندس امنیتی ۲۶ ساله و عضو هکروان که از میانمار در این رویداد شرکت کرد در بیش از ۴۰ برنامه ازجمله رویداد زنده نیویورک از ۲ سال قبل و پیوستنش به شرکت نیز در رویداد دراپباکس حاضر بود. وی در حال حاضر ۱۰۰ آسیبپذیری و ۵ مورد پیش از شروع این رویداد کشف کردهاست.
کانگ که تخصص خود را در رشته مهندسی کامپیوتر دانشگاه ملی سنگاپور گرفت گفت که مهارتهای هک را با شرکت در مسابقات Flag games کسب کردهاست.
کیبِل در پاسخ به ضعیفترین و قویترین سیستمها در برابر نفوذ اعلام کرد: این مسئله به تکامل سیستمها و جهتگیریهای امنیتی سازمان بستگی دارد. صرفنظر از اینکه هر سازمانی آسیبپذیریهایی دارد. اگر با دقت بررسی کنید، این نقصها را پیدا خواهیدکرد. آنچه بسیار اهمیت دارد، این است که چگونه سازمانها به نواقص کشف شده واکنش نشان میدهند. کسبوکارها باید نواقص سیستمهای خود را شناسایی و آنها را رفع کنند. تنها در این صورت امنیت سیستمها حفظ میشود.
میکوس ضمن تأیید صحبتهای کیبِل اظهار داشت: هر سیستم، نواقصی دارد و شرکتها باید همیشه برای رفع آنها تلاش کنند. نباید روی بیشترین جایی که آسیبپذیر هستید تمرکز کنید، بلکه باید روی جایی تمرکز داشتهباشید که ارزشهایی مانند دادههای مشتری یا اطلاعات پزشکی در خطر هستند. به عنوان مثال، دستگاههای اینترنت اشیا معمولاً ضعیف محافظت میشوند، اما اغلب حاوی اطلاعات بسیار حساس نیستند.
کیبِل و کانگ، هر دو از شرکتها خواستند تا همیشه برای حفظ امنیت از نقطه شروع و در طول کل چرخه عمر توسعه نرمافزارهایشان تلاش کنند.
دانشجوی فعلی علوم رایانه دانشگاه استنفورد توضیح داد: وقتی کسبوکارها نگرانی مسائل دیگر را دارند، این کار سخت خواهدبود، اما آنها باید بهواسطه توسعه نرمافزارها و اقدامات پیشگیرانه، موقعیت امنیتی بهتری را بهوجود آورند.
کانگ با تأیید سخنان او گفت: سازمانها باید آزمایشها و بازنگریهای امنیتی را به عنوان بخشی از جدول زمانی توسعه نرمافزارهایشان انجام دهند. با این توسعه، امنیت در زمان مناسب بهوجود میآید و اطمینان حاصل میشود که ویژگیهای اضافی ناایمن تولید نشدهاند.
به گفته تاکر، ۴ یا ۵ مورد نمونه پیشنهاد از سوی شرکتهای حاضر در برنامههای کشف نقص به اعضای هکروان ارائه شده است. دراپباکس نیز اعلام کرد که بهشدت روی ایجاد تیم امنیتی خود و آموزش بهترین شیوههای امنیتی و چشمانداز تهدید فعلی به کارکنانش سرمایهگذاری میکند. این کار باعث میشود هر فردی در سازمان آمادگی بهتری در برابر حملاتی نظیر اسپیر فیشینگ و مهندسی اجتماعی داشتهباشد.
سخنگوی شرکت دراپباکس از صحبت در مورد میزان هکهای شناسایی و مسدود شده امتناع کرد؛ اما شرح داد که پایگاه کاربری جهانی بیش از ۵۰۰ میلیون نفر به معنای چالشهای پیش روی دیگر شرکتها در جهان خواهد بود. وی همچنین جزییات تلاشهای هک انجام شده با مبدأ آسیا یا دارای کاربرانی در این قاره را فاش نکرد.
دراپباکس برای سال مالی ۲۰۱۸ درآمد ۱،۳۹ میلیارد دلاری، ۲۶ درصد بیش از سال قبل، ثبت و بهطور متوسط ۱۱۷.۶۴ دلار درآمد حاصل از هر کاربر پرداختی را جمعآوری کرد.
کد مطلب : 15233
https://aftana.ir/vdcdsx0f.yt0ks6a22y.htmlaftana.ir/vdcdsx0f.yt0ks6a22y.html
آخرین عناوین
پربيننده ترين
۱
۲
۳
۴
۵