Programas de bug bounty compram silêncio de pesquisadores para ocultar falhas

Quando Jonathan Leitschuh encontrou uma vulnerabilidade de segurança catastrófica no Zoom, a popular plataforma de videoconferência, a empresa ofereceu dinheiro para que ele se mantivesse em silêncio, com a contrapartida de uma recompensa pela descoberta e um acordo de não divulgação (NDA) assinado através da plataforma Bugcrowd.

A falha de segurança afetou milhões de usuários de Zoom no Mac, e Leitschuh queria que o problema fosse corrigido. Ele recusou o pagamento da recompensa por conta do NDA, concedeu ao serviço um embargo padrão de 90 dias para enviar um patch de correção e, quando a empresa falhou em fazer isso, ele publicou sua pesquisa.

O tema ganhou os holofotes. A Zoom recebeu muita atenção negativa da mídia e corrigiu a falha de segurança. A luta de Leitschuh para responsabilizar as organizações por sua má postura de segurança é mais comum do que você imagina, e alguns pesquisadores de segurança sentem que as plataformas de recompensa de bugs – como HackerOne, Bugcrowd e Synack – se tornaram mercados onde o silêncio está sendo comprado e vendido para impedir a exposição pública de práticas inseguras.

Usadas corretamente, as plataformas de recompensas de bugs conectam pesquisadores de segurança a organizações que desejam um check up extra. Em troca de relatar uma falha de segurança, o pesquisador recebe um pagamento (recompensa) como agradecimento por fazer a coisa certa.

No entanto, a investigação da CSO mostra que as plataformas de recompensas de bugs transformaram o relato e a divulgação de bugs, na percepção de várias fontes especializadas, incluindo a ex-Diretora de Política do HackerOne, Katie Moussouris, em “perversão”.

Principais conclusões da investigação de recompensas de bug da CSO:

As plataformas de recompensas de bugs usam NDAs para trocar o silêncio dos caçadores de recompensas pela possibilidade de pagamento;

• Todas as organizações precisam de um programa de divulgação de vulnerabilidades (VDP, em inglês); poucas precisam de um programa de recompensa de bugs;
• As plataformas de recompensas por bugs podem violar as leis federais e trabalhistas da Califórnia e o Regulamento Geral de Proteção de Dados (GDPR) da UE;
• Você não pode terceirizar um VDP inteiramente, apenas peças muito pequenas, de acordo com os padrões ISO;
• As plataformas de recompensas de bugs e o uso de NDAs contribuem para um problema de segurança pública devido a falhas de segurança não corrigidas.

Recompensa de bug vs VDP

Um programa de divulgação de vulnerabilidades (VDP) é uma alternativa bem-vinda para cidadãos preocupados em denunciar vulnerabilidades de segurança. Especialmente nos Estados Unidos, já que a Comissão Federal de Comércio impõe que toda a organização possua esse programa e já multou empresas que não seguiram com a norma.

O Departamento de Segurança Interna dos EUA (DHS) emitiu um projeto de ordem em 2019 obrigando todas as agências civis federais a implantar um VDP.

Os reguladores costumam ver a implantação de um VDP como uma diligência prévia (due diligence) mínima, mas a execução de um VDP em geral é um processo trabalhoso.

 Um VDP tem a seguinte aparência: os pesquisadores de segurança que têm boa-fé informam que sua estrutura está com problemas, dão 90 dias para corrigi-las e, quando o tempo termina, eles ligam para seu jornalista favorito e publicam os detalhes completos no Twitter, além de uma palestra na próxima Black Hat ou DEF CON, se o bug for muito bom.

“Preparar-se para [implementar] um VDP é um processo tecnicamente honesto, mas politicamente é um desafio mais difícil”, explicou Alex Rice, co-Fundador e CTO do HackerOne, para  defender a prática de fornecer programas privados de recompensa de bugs a empresas que não possuem um VDP, citando aspectos legais, regulamentares, preocupações com políticas e gerenciamento de riscos nas organizações de clientes.

“Hoje, temos pessoas que lançam programas de recompensa privados antes dos VDPs e esse é um modelo que funcionou bem para começar a construir esse relacionamento de pesquisador com um pequeno número de hackers em um compromisso privado”, acrescenta ele. “Poderíamos debater o dia inteiro se isso é certo ou não. Nossa conclusão é que é certo para algumas organizações”, complementou.

O delicado equilíbrio de administrar um VDP e trabalhar com pesquisadores de boa-fé é vantajoso para as todas as partes: sociedade, organização impactada e pesquisador de segurança.

Todavia, algumas empresas que estejam mais preocupadas com o preço de suas ações podem preferir pagar para fazer esse ponto de dor desaparecer.

Não há requisitos regulamentares – ou mesmo normativos – para implantar uma recompensa por bug e para muitas empresas despreparadas para processar uma avalanche de relatórios de bug, entrar em um serviço de recompensa por bug é a decisão errada.

Hype e capital de risco

Os sonhos alimentados por profissionais do mercado de  capital de risco (venture capital) em construir uma economia de bilhões de dólares em gigabytes de segurança cibernética são os principais responsáveis ​​por onde estamos agora, diz Moussouris à CSO.

“Quero chegar a 1 milhão de hackers [em nossa plataforma] … é realmente onde quero que estejamos no futuro”, disse à CyberScoop Mårten Mickos , CEO da HackerOne, em julho de 2017.

O relatório de fevereiro de 2020 da empresa “detalha os esforços e motivações de mais de 600 mil indivíduos que representam nossa comunidade de hackers”.

Exceto que o número de 600 mil é pelo menos um pouco inflado. Este repórter tem duas dessas contas, incluindo uma criada e esquecida, em 2017. Qualquer um pode se inscrever em quantas contas HackerOne ou Bugcrowd quiser. A verdadeira questão é: quantos pesquisadores de segurança competentes estão encontrando e relatando bugs?

De acordo com Rice, 9.650 usuários do HackerOne apresentaram relatórios válidos de vulnerabilidades de recompensa de bugs em 2019, com 3.150 deles suficientemente motivados e engajados para responder ao questionário da empresa.

“O número de pessoas que ganham mais de US$ 100 mil em todo o seu tempo trabalhando na plataforma é de poucas centenas”, disse Katie Moussouris.

Quanto à qualidade desses relatórios de vulnerabilidad: “Vi alguns relatórios de vulnerabilidade válidos entre aspas”, disse Laurens (“lvh”) Van Houtven, Diretor da Latacora, especialista em SecOps e criptografia, à CSO. “Se alguém me perguntasse ‘eu deveria colocar isso no meu relatório do appsec?’, Eu diria ‘você pode colocar lá, mas eu nunca vou deixar você esquecer isso’, complementou”.

Moussouris, agora fundadora e CEO da consultoria Luta Security, questiona quanto do HackerOne é real. “O relatório mais recente mostra que a maioria dos usuários registrados é basicamente falsa ou não qualificada. O número de pessoas que ganham mais de US$ 100 mil durante todo o tempo trabalhando na plataforma é de poucas centenas. Esse número de pesquisadores relativamente qualificados não mudou significativamente, fazendo com que a métrica de maior número de hacker seja bastante enganadora”, comenta.

“Essas plataformas comerciais de recompensas de bugs […] estão pervertendo todo o ecossistema, e eu quero ver isso parar, mesmo que me custe algo pessoalmente”, acrescentou Moussouris.

Como ex-executiva do HackerOne, ela se beneficiaria com qualquer oferta pública de ações bem-sucedida do HackerOne. “Estou falando com você na direção oposta do meu próprio ganho financeiro pessoal”, afirmou.

O HackerOne também faz muito barulho sobre seus “milionários hackers”, pessoas que ganharam mais de um milhão de dólares acumulados cada um desde que a plataforma foi lançada em 2012.

Qual foi a renda mediana de um localizador de bug do HackerOne em 2019? E a média? Quantos relatórios de vulnerabilidade o hacker mediano envia? O HackerOne se recusou a responder a essas perguntas.

Da mesma forma, a Bugcrowd diz à CSO que possui “mais de 20.000 pesquisadores ativos na plataforma, com uma estimativa de 2 a 3 milhões de potenciais hackers whitehat disponíveis em todo o mundo”.

Como o Bugcrowd define um “pesquisador ativo”? Esse é um número do ano civil de 2019 ou um número acumulado desde o lançamento do Bugcrowd em 2011? De onde vêm os 2 a 3 milhões de hackers whitehat? “No momento, não divulgamos publicamente esses detalhes”, disse um representante de relações públicas da Bugcrowd à CSO.

Encobrindo problemas de segurança

O silêncio é a commodity que o mercado parece estar exigindo, e as plataformas de bug bounty se viraram para vender o que os compradores dispostos querem pagar.

“Recompensas de bugs são melhores quando transparentes e abertas. Quanto mais você tentar fechá-las e colocar NDAs sobre elas, menos eficazes elas serão, pois elas serão cada vez mais sobre sobre marketing e não sobre segurança”, disse Robert Graham, da Errata Security, à CSO.

Leitschuh, o localizador de erros do Zoom, concorda. “Essa questão faz parte do problema das plataformas de recompensas de bugs como estão no momento. Elas não estão mantendo as empresas com prazo de divulgação de 90 dias. Muitos desses programas estão estruturados nessa ideia de não divulgação. O que eu sinto é que eles estão tentando comprar o silêncio do pesquisador”, diz ele.

Os NDAs das plataformas de recompensas de bugs proíbem até mencionar a existência de uma recompensa de bugs particular. Tweetar algo como “A empresa X tem um programa de recompensa particular no Bugcrowd” seria suficiente para fazer com que um hacker fosse expulso de sua plataforma.

A cereja do bolo para o silêncio do pesquisador é o dinheiro – as recompensas podem variar de algumas centenas a dezenas de milhares de dólares – mas a força para impor o silêncio é o “porto seguro”, a promessa pública de uma organização de não acionar ou processar criminalmente um pesquisador de segurança que tenta relatar um erro com boa-fé.

Em  2017, o Departamento de Justiça dos EUA (DOJ) publicou diretrizes sobre como fazer uma promessa “porto seguro”. Penalidades severas para hackers ilegais não devem se aplicar a um cidadão preocupado que tenta fazer a coisa certa, eles argumentaram.

Quer um porto seguro? Assine este NDA

Assine este NDA para relatar um problema de segurança ou nos reservamos o direito de processá-lo sob a Lei de Fraude e Abuso de Computador (CFAA) e colocá-lo na prisão por uma década ou mais. Essa é a mensagem que algumas organizações estão enviando com seus programas de recompensas de bugs particulares.

Vamos pegar o PayPal como exemplo. O VDP em seu site informa a todos os descobridores de bugs para criar uma conta no HackerOne e concordar com os termos e condições de seu programa privado de recompensas por bugs, incluindo o NDA. Se você relatar um bug de qualquer outra maneira, o PayPal se recusará explicitamente a oferecer um “porto seguro” aos caçadores de bugs.

“Você não encontrará VDPs no HackerOne que não permitam nenhum tipo de divulgação”, disse Rice à CSO. O que, pelo menos no caso do PayPal, parece não ser verdade. O VDP do PayPal coloca todos os relatores de bugs em seu programa de recompensa privado no HackerOne, e a única maneira de denunciar um bug usando de boa-fé e com expectativa zero de uma recompensa é concordar com o NDA desse programa privado.

(O site da HackerOne pode rotular o programa de “recompensa de bug particular” em vez de “VDP”, mas continua sendo a única maneira publicada de relatar uma falha de segurança ao PayPal, no momento da redação deste documento.)

Os termos do PayPal, publicados e divulgados pelo HackerOne, mudam a ideia de um VDP com porto seguro. A empresa “compromete-se a que, se concluirmos, a nosso próprio critério, [nosso negrito] que uma divulgação respeita e cumpre todas as diretrizes destes Termos do Programa e dos Contratos do PayPal, o PayPal não tentará uma ação privada contra você nem encaminhará essa questão para consulta pública”.

A única maneira de cumprir sua decisão de “porto seguro” é se você concorda com o NDA deles. “Ao se submeter aos Termos do Programa, você concorda em não divulgar publicamente suas descobertas ou o conteúdo do seu envio a terceiros de forma alguma sem a aprovação prévia por escrito do PayPal”.

O HackerOne ressalta que o sistema de porto seguro pode depender de se concordar com os termos do programa, incluindo a assinatura de um NDA, em suas diretrizes de divulgação.

Localizadores de bugs que não desejam assinar um NDA para relatar uma falha de segurança podem entrar em contato diretamente com a organização afetada, mas sem proteções de porto seguro.

“Envie diretamente para a equipe de segurança fora do programa”, eles escrevem. “Nesta situação, os Finders [Localizadores] são aconselhados a exercer um bom julgamento, pois qualquer porto seguro proporcionado pela Política do Programa pode não estar disponível”.

Rice diz que o HackerOne desencoraja tal conduta dos clientes e expulsará as empresas da plataforma se elas tomarem “ações punitivas irracionais contra os buscadores”, como fazer ameaças legais ou encaminhá-los para a aplicação da lei.

O executivo ressalta que, no início de abril, o HackerOne removeu o fornecedor de votação online Voatz da plataforma – a primeira vez que o HackerOne removeu um cliente da plataforma. O PayPal não respondeu ao pedido de comentário da CSO.

No entanto, os pesquisadores de segurança preocupados com a proteção de um porto seguro, não devem ficar tranquilos com a maioria dos acordos apalavrados de porto-seguro, disse Andrew Crocker, advogado da equipe da Electronic Frontier Foundation (EFF), à CSO.

“Os termos de muitos programas de recompensas de bugs costumam ser escritos para dar à empresa margem de manobra para determinar ‘a seu exclusivo critério’ mesmo se um pesquisador atendeu aos critérios para um porto seguro”, diz Crocker. “Isso obviamente limita o nível de conforto os pesquisadores podem obter da oferta de um porto seguro”, ressalta.

“A EFF acredita firmemente que os pesquisadores de segurança têm o direito da Primeira Emenda [dos Estados Unidos] pararrelatar suas pesquisas e que a divulgação de vulnerabilidades é altamente benéfica”, acrescenta Crocker. De fato, muitos dos principais pesquisadores de segurança se recusam a participar de plataformas de recompensas por bugs devido aos NDAs necessários.

Farto dos NDAs de recompensas de bugs

Tavis Ormandy, respeitado pesquisador de segurança do Project Zero, criado pelo Google, se recusou dar entrevista para este artigo, mas anteriormente adotou uma forte posição pública contra as NDAs.

Em 2019, ele tuitou: “Me recuso a concordar com os termos antes de denunciar uma vulnerabilidade”, acrescentando outro tweet: “É como dizer que você fará uma reivindicação verdadeira, verificável e reproduzível sobre um produto, mas disposto a dar ao fornecedor uma janela curta para fazer as alterações primeiro, se assim o desejar. Não há necessidade de agir se não quiser ou não se importar”.

Ormandy não é o único pesquisador de segurança que se recusa a ser amordaçado. Varun Kakumani (que esteve em destaque recentemente por tentar denunciar à Netflix uma falha de segurança que os profissionais da triagem do Bugcrowd marcaram como fora de escopo), disse à CSO que, apesar de ser um localizador de bugs veterano, listado nos corredores da fama do Google, Microsoft, Yahoo, Adobe e eBay, ele nunca trabalhará para as plataformas de recompensas de bugs e só submete suas descobertas pelo Bugcrowd porque a Netflix terceiriza seu VDP para essa plataforma.

“Atualmente não há sentido para recompensas por bugs. É como um jogo para muitas pessoas. Basta seguir suas regras estúpidas e receber o pagamento. Atualmente não há valor para o verdadeiro trabalho de hackers”, disse Kakumani à CSO.

Kevin Finisterre (@d0tslash), o localizador de bugs da DJI que abandonou uma recompensa de US$ 30.000 porque o fornecedor exigiu um NDA para encobrir uma violação de dados, não mede suas palavras sobre recompensas de bugs.

“Seduzir-me a participar de recompensas nesta fase da minha carreira é uma tarefa difícil. A economia de fazer trabalho de recompensa não faz sentido para mim na maioria dos casos”, diz ele à CSO.

Violações da lei trabalhista

Depois de ser queimado pela DJI, Finisterre agora trabalha em tempo integral para garantir a segurança de uma divisão de veículos autônomos de um grande fabricante de automóveis e sugere que recompensas por bugs sejam mais para pessoas mais jovens e menos estabelecidas, que querem ser notadas.

Ele diz que as plataformas de recompensas de bugs estão explorando hackers. “O mais intolerável para mim é que muitos de nós [pesquisadores] estamos em algum espectro [do autismo] e, literalmente, trabalharemos até a morte caçando bugs para no fim termos pouco retorno sobre os esforços imediatos “, diz ele. “Ninguém menciona a falta de plano de saúde”, complementa.

O seguro de saúde nos EUA é normalmente fornecido pelos empregadores aos funcionários, e não a contratados independentes. No entanto, especialistas jurídicos dizem à CSO que as plataformas de recompensas contra bugs violam as leis trabalhistas federais da Califórnia e dos EUA.

O California AB 5, a nova lei do Golden State para proteger os trabalhadores da “gig economy” que entraram em vigor em janeiro de 2020, aplica-se claramente a caçadores de recompensas que trabalham para HackerOne, Bugcrowd e Synack. É o que a Leanna Katz, candidata a LLM na Harvard Law School, que está pesquisando testes jurídicos que distinguem entre contratados independentes e funcionários, disse à CSO.

O AB 5 usa um “teste ABC” legível por humanos para determinar se um trabalhador é um funcionário ou contratado independente de acordo com a lei da Califórnia.

“É improvável que todos os três elementos [do teste ABC] de controle funcionem fora do curso normal dos negócios e executem independentemente o mesmo trabalho”, diz Katz. “Assim … os hackers são provavelmente funcionários sob as leis da Califórnia”, adiciona.

Veena Dubal, professora de direito da Universidade da Califórnia, em Hastings, e especialista em direito do trabalho que pesquisa a gig economy, concorda com a análise de Katz. Ela diz que as plataformas de recompensas por bugs também violam a Lei Federal de Normas Trabalhistas dos EUA (FLSA), que exige que os empregadores paguem um salário mínimo.

Considere um localizadorque gaste semanas ou meses de trabalho não remunerado para descobrir e documentar uma falha de segurança. Outra pessoa descobre, documenta e envia o mesmo bug cinco minutos antes do primeiro localizador.

Sob as regras da maioria dos programas de recompensas HackerOne e Bugcrowd, o primeiro remetente recebe todo o dinheiro, o segundo localizador não recebe nada.

“Minha análise jurídica sugere que os trabalhadores [em plataformas de recompensas contra bugs] deveriam estar recebendo pelo menos salário mínimo, remuneração por horas extras e seguro-desemprego”, disse Dubal à CSO.

“Isso é tão explorador e ilegal”, acrescenta ela, dizendo que “segundo a lei federal, é concebível que não apenas o HackerOne, mas o cliente seja um empregador conjunto [de detectores de bugs]. Pode haver responsabilidade pelas empresas que usam o serviço [plataforma de recompensas por bugs].”

“Os buscadores não são funcionários”, diz Rice, um sentimento ecoado pelo fundador da Bugcrowd, Casey Ellis, e o fundador da Synack, Jay Kaplan. A resposta da Synack é representativa das três plataformas: “Como muitas empresas na Califórnia, estamos monitorando de perto como o estado aplicará o AB 5, mas temos um número limitado de pesquisadores de segurança com sede na Califórnia e eles representam apenas uma porcentagem fracionária do total tempo de teste “, disse um representante da Synack à CSO.

Usar trabalhadores da plataforma de economia gig para descobrir e relatar falhas de segurança também pode ter sérias consequências na GDPR, quando um pesquisador de segurança descobre uma violação de dados.

Plataformas de recompensas de bugs podem violar o GDPR

Quando uma violação de dados não é uma violação de dados?

Quando uma consultoria especializada em invasão de dados e com funcionários experientes descobre os dados expostos.

Um contrato de trabalho padrão para testes de penetração, como essa atividade é chamada, inclui uma linguagem que protege os testadores – em suma, não é crime se alguém lhe pedir para invadir o edifício ou a rede corporativa de propósito e assinar um contrato que o indenize.

Isso inclui violações de dados descobertas por testadores de penetração. A partir do momento em que os testadores são colocados debaixo do guarda-chuva de um cliente (que vamos chamar de “Empresa X”), qualquer dado da Empresa X que esteja exposto publicamente não é considerado exposto ao público, pois seria legalmente o mesmo que um funcionário da Empresa X descobrir uma violação de dados. Portanto, as regras de notificação de violação de dados do GDPR não entram em jogo.

E os caçadores não recompensados de recompensas de bugs que descobrem uma violação de dados como parte de um programa de bug bounty? De acordo com Joan Antokol, especialista em GDPR, o regulamento de notificação de violação de dados da UE se aplica a plataformas de recompensas de bugs.

 Antokol é sócio da Park Legal LLC e membro de longa data do Grupo de Trabalho Internacional sobre Proteção de Dados em Tecnologia (IWGDPT), presidido pelo Comissário de Proteção de Dados de Berlim, que trabalha em estreita colaboração com os reguladores do GDPR.

“Se um hacker indedependente se inscreveu em um projeto por meio de empresas de recompensas por bugs para tentar encontrar vulnerabilidades nos sistemas eletrônicos de um cliente de recompensas por bugs (geralmente uma empresa multinacional) e conseguiu, de fato, acessar os dados pessoais da empresa multinacional via invasão bem-sucedida de seus sistemas, a multinacional (controladora de dados) teria uma obrigação de notificação de violação sob o GDPR e leis similares de outros países”.

“Não há realmente nenhuma maneira de contornar isso quando as empresas de recompensas por bugs coletam pouco mais que um nome (e talvez fictício) do hacker presumivelmente ético, junto com suas informações de transferência eletrônica ou um endereço para a empresa de recompensas enviar pagamento”, diz Antokol.

“Mesmo que a empresa ou multinacional de recompensa de bugs conseguisse obter uma certificação do hacker bem-sucedido sobre o uso indevido dos dados pessoais, o apagamento total e irreversível dos dados, o compartilhamento, os dados etc., ela não seria capaz de garantir credibilidade ou responsabilidade do hacker, então [esse acordo] seria essencialmente uma farsa”, afirma.

Com a conformidade adequada com o GDPR, porém, diz Antokol, a obrigação de notificação talvez possa ser evitada.

No entanto, todas as três plataformas de recompensas por erros subestimaram esse risco, e nenhuma das três reconheceu qualquer instância em que um programa de recompensas por erros levasse à notificação de violação do GDPR.

O Bugcrowd apontou que 90% de seus programas de recompensa de bugs são programas privados apenas para convidados, o que significa que a NDA é necessária. “Todos os pesquisadores que participam de programas privados de recompensa de bugs devem ser pré-examinados por meio de nosso processo interno de verificação. Para serem convidados para programas privados, os pesquisadores devem provar suas habilidades e confiabilidade por meio de programas públicos”, eles escrevem.

Bugcrowd se recusou a explicar como é o processo de pré-verificação dos pesquisadores. Portanto, esse repórter se inscreveu em uma conta e teve acesso imediato a todos os programas públicos sem nenhuma etapa adicional.

Para se qualificar para programas privados, a Bugcrowd convida os pesquisadores a preencher este formulário do Google, que solicita perfis do LinkedIn, GitHub e Twitter, “Nome ou pseudônimo”, além de “quaisquer certificações ou qualificações relevantes que validam suas credenciais de teste”.

O formulário também pergunta: “Você gostaria de ser verificado em segundo plano?”, observando que “clientes específicos exigem que os pesquisadores sejam verificados quanto ao histórico para participar de seus programas privados”. O formulário avisa que “se você não fornecer informações detalhadas, não será considerado para convites de programas privados”.

O Synack, que administra apenas programas privados de recompensa de bugs, examina todos os seus pesquisadores independentes (time conhecido como “Equipe Vermelha do Synack”), incluindo uma verificação de antecedentes criminais, e aceita apenas cerca de 20% dos candidatos, disse um representante da Synack à CSO.

O que isso realmente destaca é que as empresas podem aumentar, mas não substituir, um compromisso tradicional de teste por recompensas de bugs. Além disso, apenas uma pequena parte do relatório de erros pode ser terceirizada, e tentativas complicadas de fazê-la podem sair pela culatra.

Portanto, esse é o tipo de atividade que deveria ser conduzida pelos próprios funcionários da empresa.

NDAs não são compatíveis com ISO

As pessoas especializadas no setor são escassas e, em um momento de zero desemprego entre os profissionais de segurança da informação, pode ser tentador terceirizar tudo o que puder. Mas um VDP não é algo que você possa terceirizar totalmente.

O marketing da HackerOne implica fortemente que sua plataforma pode ajudar as empresas a terceirizar a ISO 29147 e a ISO 30111, padrões que definem as melhores práticas para receber relatórios de erros de segurança, corrigir esses erros e publicar avisos. No entanto, a co-autora de ambos os padrões, Moussouris, diz que isso não é possível:

• A ISO 29147 padroniza como receber pela primeira vez relatórios de erros de segurança de um repórter externo e como disseminar avisos de segurança ao público.
• A ISO 30111 documenta a digestão interna dos relatórios de erros e a correção dentro de um fabricante de software afetado. A ISO forneceu à OSC uma cópia de revisão de ambos os padrões, e o idioma é inequívoco.

Esses padrões deixam claro que os NDAs de recompensas de bugs particulares não são compatíveis com a ISO. “Quando a não divulgação é um termo ou condição exigida para relatar bugs por meio de uma plataforma de recompensa de bugs, isso interrompe fundamentalmente o processo de divulgação de vulnerabilidades, conforme descrito na ISO 29147”, diz Moussouris. “O objetivo do padrão é permitir relatórios de vulnerabilidade recebidos e [sua ênfase] liberação de orientações às partes afetadas”.

A ISO 29147 lista quatro objetivos principais, incluindo “fornecer aos usuários informações suficientes para avaliar riscos devido a vulnerabilidades” e lista oito razões diferentes pelas quais publicar avisos de segurança é um requisito padronizado, incluindo “informar decisões de políticas públicas” e “transparência e responsabilidade”.

Além disso, a 29147 diz que a divulgação pública nos torna mais seguros a longo prazo. “A teoria que apoia a divulgação de vulnerabilidades sustenta que o risco de curto prazo causado pela divulgação pública é superado pelos benefícios a longo prazo de vulnerabilidades fixas, defensores mais bem informados e melhorias defensivas sistêmicas”.

Compare isso com os “5 componentes críticos de uma política de divulgação de vulnerabilidades” do HackerOne, que permitem que as organizações amordacem os pesquisadores de segurança.

“Defina expectativas não vinculativas sobre como os relatórios serão avaliados”, recomenda a empresa. “Esta seção pode incluir a duração entre envio e resposta, confirmação de vulnerabilidade, comunicações subsequentes, expectativa de reconhecimento e se ou quando os descobridores têm permissão para divulgar publicamente seus resultados”.

Rice contesta a acusação de que o HackerOne é incapaz de oferecer conformidade com a ISO, dizendo que “o H1 Response [sua oferta VDP] permite que as organizações cumpram todas as orientações de 29147 e 30111 em sua configuração padrão”. É como dizer que o Monster Sugar O’Cereal faz parte de um café da manhã equilibrado. Tecnicamente verdade, mas não adiciona muita nutrição.

“Para as empresas de recompensas por bugs alegarem que ajudam de alguma maneira com a ISO 30111, elas realmente não entendem esses padrões ou como cumpri-los. É publicidade falsa na melhor das hipóteses, e mentiras definitivas na pior”, diz Moussouris. “Nada do que as plataformas de recompensas de bugs fornecem tem algo a ver com essa parte do processo [ISO 30111]. Eles podem apenas ajudar com uma pequena parte da ISO 29147, que é a entrada e a triagem inicial”, explica.

HackerOne “triagem armada”

A execução de um VDP normalmente resulta em uma série de relatórios, pois somente pesquisadores de boa-fé que esperam pagamento zero entrarão em contato com você. No entanto, comece a pagar uma recompensa por bug, e todos os pequenos que procuram um pagamento rápido irão inundar sua caixa de entrada com relatórios mal-feitos.

“Quando as pessoas executam seus próprios programas de recompensas de bugs, elas rapidamente se arrependem. Eles recebem milhares de relatórios, principalmente relatórios ruins. Existe um incentivo maciço [para quem encontra bugs pouco qualificados] para enviar spam a todos com besteira completa”, diz Van Houtven, de Latacora.

Esse não é um argumento para terceirizar recompensas de bugs para uma das plataformas, mas para questionar se sua organização precisa de alguma recompensa. Um tsunami de relatórios de bugs ruins é um problema que as plataformas de recompensas de erros criam e resolvem, diz Van Houtven.

“O HackerOne tornou esse processo pouco amigável. Eles ganham muito dinheiro com a triagem. O problema é que o HackerOne tem um terrível incentivo perverso. Eles querem preservar o status quo das pessoas que enviam descobertas sem valor”, diz Van Houtven. “Acho que o HackerOne não deveria existir. O modelo de negócios deles é lamentável”, complementa.

Rice nega essa cobrança. “O HackerOne tem todo incentivo para tornar a triagem uma experiência agradável para hackers, nossos clientes e nossa equipe. Estamos trabalhando constantemente para melhorar o processo de triagem para todos”, diz ele.

Uso responsável das recompensas de bugs

Uma empresa com um VDP existente e uma equipe madura de triagem e correção de bugs pode e, em alguns casos, deve aumentar sua equipe vermelha robusta e existente com uma recompensa por bugs. Mas a recompensa por bugs é a cereja no topo do sundae de segurança cibernética: é bom ter, parece bonito e adiciona um pouco de sabor.

Mas existem camadas: o básico é a criação de VDP publicado, localizado na página CompanyX.com/security, com um endereço de segurança @email, uma chave PGP (que funciona) e uma mensagem clara de porto seguro que permita a divulgação do pesquisador.

A questão seguinte é empregar uma consultoria adequada para testes de penetração e, se o tamanho e o orçamento da organização o justificarem, uma equipe vermelha interna. Uma vez que essas pranchas de diligência prévia tenham sido colocadas, uma recompensa por bugs pode ajudar a encontrar problemas que ninguém mais encontrou.

As organizações maduras podem e devem executar seu próprio VDP internamente. Se eles estiverem prontos para uma avalanche de relatórios de erros duvidosos, eles podem optar por executar uma recompensa de bug.

Na medida em que as plataformas de bug bounty precisam existir, tem um valor agregado modesto. “Eu disse a eles antes de partir”, diz Moussouris, “se vocês podem continuar reduzindo o atrito entre pesquisadores e fornecedores, isso é uma coisa boa. Se você tentar vender o controle, estará no espaço errado”.