Wordfence, una nota azienda nel campo della sicurezza informatica, ha recentemente lanciato un nuovo programma di bug bounty. Questa iniziativa ha lo scopo di offrire incentivi finanziari ai ricercatori di sicurezza che segnalano vulnerabilità ad alto rischio alla società.
Una volta che i ricercatori rivelano le vulnerabilità a Wordfence, l’azienda le gestisce e le comunica in modo confidenziale ai fornitori per la correzione. Quando la soluzione viene rilasciata, la vulnerabilità viene inclusa nel database pubblico di Wordfence, liberamente accessibile, seguendo una politica di divulgazione responsabile.
Chloe Chamberland, analista della sicurezza di Wordfence, ha affermato: “Non vi è un limite ai premi che un singolo ricercatore può guadagnare, e ogni vulnerabilità rilevante ricevuta tramite il nostro processo di invio garantisce un premio.”
Wordfence premierà i ricercatori che scoprono vulnerabilità in plugin e temi con oltre 50.000 installazioni attive. Alcuni esempi di pagamento includono:
- $1.600 per Caricamento di File Arbitrario non Autenticato, Esecuzione di Codice Remoto, Escalation di Privilegi a Admin, o Aggiornamento Arbitrario delle Opzioni in un plugin o tema con oltre un milione di installazioni attive.
- $1.060 per la Cancellazione di File Arbitrario non Autenticata in un plugin o tema con oltre un milione di installazioni attive, assumendo che wp-config.php possa essere facilmente cancellato.
- $800 per un’iniezione SQL non Autenticata in un plugin o tema con oltre un milione di installazioni attive.
- $320 per una vulnerabilità di Cross-Site Scripting non Autenticata in un plugin o tema con oltre un milione di installazioni attive.
- $80 per una vulnerabilità di Cross-Site Request Forgery in un plugin o tema con oltre un milione di installazioni attive e un impatto significativo.
I premi del nostro Programma Bug Bounty sono stati progettati per avere il massimo impatto positivo sulla sicurezza dell’ecosistema WordPress. I premi non sono guadagnati cercando in massa vulnerabilità di impatto minimo per guadagnare un posto in una classifica, ma sono basati sul numero di installazioni attive, sulla criticità della vulnerabilità, sulla facilità di sfruttamento e sulla prevalenza del tipo di vulnerabilità.
ha detto Chamberland.
Il lancio del programma bug bounty di Wordfence mira chiaramente a posizionarsi competitivamente, indirettamente mettendo in discussione Patchstack, che opera il suo programma su un sistema a classifica dove solo i migliori ricercatori vengono pagati. Ci sono alcune differenze notevoli, dove alcuni premi vengono assegnati a discrezione, ma la maggior parte dei premi individuali sono per il punteggio più alto in varie categorie:
Patchstack garantisce un montepremi mensile di almeno $2425 (il montepremi più basso possibile). Il membro dell’Alleanza Patchstack che raccoglierà più punti per un particolare mese dai suoi report inviati riceverà un premio di $650, il secondo classificato riceverà $350 e il terzo $250.
Ci sono premi extra (singoli premi) per segnalare la vulnerabilità con il punteggio base più alto secondo CVSS ver. 3.1; il conteggio di installazioni attive più alto; e per segnalare un gruppo di componenti colpiti dalla stessa vulnerabilità.
Patchstack può premiare singoli membri dell’Alleanza Patchstack a propria discrezione in base all’impatto complessivo delle vulnerabilità da loro scoperte.
Wordfence adotta un approccio diverso nel pagare per ogni vulnerabilità segnalata entro l’ambito identificato dal programma.
I ricercatori nell’ecosistema WordPress dovrebbero familiarizzare con i vari programmi di bug bounty e determinare la migliore via per le loro segnalazioni. Alcuni plugin e aziende, come Elementor, Brainstorm Force, Automattic, Castos e WP Engine, hanno i propri programmi di bug bounty, con una gamma di diversi pagamenti.
Paghiamo di più per vulnerabilità e paghiamo per ogni vulnerabilità valida inviata, riteniamo che questo sia l’unico modo giusto di procedere, poiché la gamification di un programma di vulnerabilità è come avere dipendenti che lavorano tutti, ma solo quelli in cima alla classifica vengono pagati. Se invii una vulnerabilità valida, dovresti essere pagato per il tuo lavoro.
ha detto Mark Maunder, CEO di Wordfence.
Maunder sostiene che gli incentivi sbagliati stanno abbassando la qualità della ricerca inviata.
Vi è un numero estremamente alto di vulnerabilità a basso rischio e di bassa qualità che vengono inviate a database come Patchstack, Vulnerabilità che coinvolgono un Cross-Site Request Forgery ne sono un esempio. Gli incentivi che stiamo vedendo là fuori incoraggiano i ricercatori a generare un alto volume di vulnerabilità a basso rischio per essere premiati. Questi alti numeri vengono poi utilizzati per commercializzare prodotti di sicurezza.
Maunder ha affermato che Wordfence ha strutturato il suo programma per spostare gli incentivi verso la ricerca di vulnerabilità ad alto rischio, anziché aumentare le metriche di marketing per un particolare database di vulnerabilità.
Un alto volume di vulnerabilità a basso rischio in qualsiasi database particolare danneggia l’industria perché crea lavoro per altre organizzazioni che devono integrare questi dati, ma per la maggior parte si tratta solo di rumore inutile che siamo costretti a vagliare, piuttosto che rappresentare un rischio reale per la comunità degli utenti
ha detto Maunder.
Come nuova entrata nel gruppo di aziende WordPress che offrono bug bounty, Wordfence entra nel mercato con l’intenzione di attrarre più segnalazioni attraverso bonus aggiuntivi (10% per i primi 6 mesi) e una struttura di bonus che premia il concatenamento di più vulnerabilità insieme, una documentazione approfondita e altri sforzi extra.
Non ogni autore di un plugin o tema popolare può permettersi di offrire il proprio programma di bug bounty, ed è qui che le aziende di sicurezza intervengono per colmare le lacune. Una maggiore concorrenza tra le aziende per la ricerca di alta qualità può solo essere positiva per gli utenti di WordPress, poiché fornisce più incentivi per la sicurezza dell’ecosistema e attirerà potenzialmente più ricercatori qualificati. I programmi di bug bounty probabilmente evolveranno nel tempo man mano che le aziende li perfezionano per fornire il miglior valore per la ricerca originale.
