Reddit rend son application bug bounty grand public

Reddit a déclaré qu’il publierait son système de primes de bogues peu de temps après l’avoir utilisé en privé avec HackerOne au cours des trois dernières décennies.

Dans un article publié sur le site de l’agrégateur de nouvelles et du forum de discussion, Spencer Koch, l’assistant de sécurité de l’entreprise, a offert beaucoup plus de faits sur les réalisations de son programme de primes de bogues de manière si significative, déclarant :

« Ce système nous a permis de traiter rapidement les vulnérabilités, de renforcer nos défenses et de continuer à assurer la sécurité de notre système parallèlement aux initiatives de nos équipes individuelles. Nous avons également été témoins d’un grand engagement et de résultats aujourd’hui, recevant 140 000 $ en primes sur 300 histoires couvrant le système principal reddit.com, qui a très bien fonctionné pour notre portée minimale tout au long du plan personnel.

Maintenant, cependant, Reddit envisage d’étendre la portée du plan pour aider à améliorer la sécurité de son site aussi bien que ses applications mobiles.

Méthode de prime de bogue publique

Dans une interview avec HackerOne, Koch a défini que Reddit avait recommencé son équipe de protection en 2018 après avoir officialisé son système de prime de bogue personnel. C’était également la même année où le site Web a été piraté et les données personnelles de certains acheteurs ont été découvertes dans une violation de données.

Conformément à Koch, le groupe de protection de Reddit effectue un premier tri pour évaluer la gravité d’un bogue juste après qu’une vulnérabilité est documentée. Néanmoins, parfois, la société permet à l’assistance de triage de HackerOne d’effectuer la sélection initiale, la collecte des informations de copie et l’examen de la raison avant que ses ingénieurs de stabilité seniors n’examinent un bogue.

Maintenant que le programme de primes aux bogues de Reddit est ouvert au grand public, tout chercheur en sécurité ou pirate informatique peut rechercher des bogues sur la plate-forme. Au moment où un bogue est identifié, ils peuvent générer 100 $ pour les bogues de gravité réduite, 500 $ pour les types moyens, 5 000 $ pour les types élevés et 10 000 $ pour l’exploration d’une vulnérabilité importante.

Ceux qui sont intrigués par la recherche de bogues sur Reddit peuvent découvrir beaucoup plus de faits sur son logiciel de prime aux bogues ci-dessous, qui incluent les conditions du plan, la volonté de gravité et les vulnérabilités hors de portée de l’application.

Via SC Magazine