Reddit macht Bug-Bounty-Programm öffentlich

Cyber Security News

Alexis Ohanian, Mitbegründer und Executive Chairman von Reddit, besucht den WORLDZ Cultural Marketing Summit 2017 in Los Angeles. (Jerod Harris/Stringer)

Reddit gab am Mittwoch bekannt, dass es sein Bug-Bounty-Programm öffentlich macht. Die populäre Social-News-Site und Community-Forum-Plattform hat in den letzten drei Jahren ein privates Programm mit HackerOne betrieben, hofft aber, dass sie durch den Schritt an die Öffentlichkeit Schwachstellen schneller beheben, ihre Verteidigung verbessern und die Plattform sicher halten kann.

“Wir haben bisher ein großes Engagement und Erfolg gesehen und haben 140.000 Dollar an Bounties für 300 Berichte vergeben, die die Hauptplattform reddit.com abdecken, was für unseren begrenzten Umfang während des privaten Programms gut funktioniert hat”, sagte das Unternehmen in einer Pressemitteilung. “Mit unserem kontinuierlichen Wachstum und unserer Sichtbarkeit sind wir nun bereit, das Programm öffentlich zu machen und die Teilnahme auf jeden auszuweiten, der einen bedeutenden Einfluss auf die Sicherheit auf Reddit haben möchte.”

Reddit-Sicherheitsassistent Spencer Koch sagte, dass das Unternehmen immer die Community genutzt hat, um Fehler in der Plattform zu finden und zu beheben; So hat das Unternehmen im Laufe der Jahre mehrere seiner Ingenieure gefunden. Koch sagte, dass das Sicherheitsteam im Jahr 2018 begann, als Reddit sein privates Bug-Bounty-Programm formalisierte. Als Reddit im Laufe der Jahre an Größe und Einfluss gewann, skalierte es das Programm, indem es seinen Umfang erweiterte, die Kopfgeldauszahlungen verbesserte und Sicherheitsforscher mit Kontext und Einblicken in die Funktionsweise von Reddit unterstützte.

Spencer sagte, dass, wenn ein Hacker einen Fehler findet, das Sicherheitsteam eine erste Triage durchführt, um den Schweregrad abzuschätzen; andernfalls überlässt es dem Triage-Service von HackerOne das erste Screening, das Sammeln von Reproduktionsinformationen und die Prüfung der Unbedenklichkeit, bevor einer der leitenden Sicherheitsingenieure von Reddit die Jagd beginnt.

“Unser Sicherheitsteam ist eng mit unseren Ingenieurteams verzahnt, so dass wir den Code durchforsten, um die Ursache zu finden und unseren Ingenieurkollegen mögliche Korrekturen vorschlagen”, sagte Spencer. “Die Anreicherung unserer Tickets mit diesen Daten bedeutet, dass unsere Tickets von höherer Qualität sind und von unseren Entwicklern leicht reproduziert und konsumiert werden können, so dass wir alle schneller mit der Fehlerbehebung beginnen können.”

Allison Miller, Vice President of Trust und CISO von Reddit, fügte hinzu, dass das Sicherheitsteam des Unternehmens bereits an mehreren Schlüsselpunkten des Softwareentwicklungslebenszyklus (SDLC) in die Einführung von Funktionen eingebettet ist und eng mit den verschiedenen technischen Abteilungen der Plattform zusammenarbeitet. In der letzten Phase eines Feature-Rollouts stellt das Team sicher, dass es das neue Feature in den Bug Bounty-Bereich aufnimmt und Details dazu anbietet, wie man es testen kann oder wo man es findet.

“Ein großartiges Beispiel dafür ist, als wir eine neue Reddit-Einbettungsfunktion im Alpha-Test hatten”, sagte Miller. “Wir informierten unsere Forscher darüber und bekamen Feedback, dass gelöschte Beiträge aufgrund einer schlechten Logik gerendert wurden, was dazu führte, dass die Realität nicht mit dem Design übereinstimmte. Durch die Macht der Hacker waren wir in der Lage, dies frühzeitig vor der allgemeinen Verfügbarkeit zu erkennen, wo es zu einem größeren Problem geworden wäre.”

Interessierte Sicherheitsforscher finden das Bug-Bounty-Programm von Reddit auf HackerOne.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com