Le OnePlus Security Response Center est le programme de bug bounty de l'entreprise destiné à ceux qui souhaitent être payés pour détecter des failles de sécurité.
La cybersécurité est plus importante que jamais à l’aube d’une nouvelle décennie qui, encore une fois, changera radicalement la technologie telle que nous la connaissons. Et quelle que soit la taille de votre équipe de développeurs ou la minutie avec laquelle vous testez votre logiciel, certaines vulnérabilités et bugs critiques parviennent toujours à traverser l'étang vers des logiciels stables la plupart du temps. C'est pourquoi plusieurs entreprises, dont Samsung, Google, et Huawei, ont des programmes de bug bounty qui permettent aux chercheurs en sécurité d'essayer les logiciels de l'entreprise et de repartir avec une somme d'argent très généreuse s'ils parviennent à trouver un exploit critique. OnePlus rejoint désormais cette liste d'entreprises, car elles promis plus tôt cette année.
OnePlus a dévoilé son propre programme de bug bounty, qu'ils appellent OnePlus Security Response Center, ou OneSCR en abrégé. Le principe est simple: si vous trouvez (correctement) une vulnérabilité, vous pouvez obtenir de l’argent en échange de sa (correcte) déclaration. L'ouverture de ce programme intervient près de deux ans après que l'entreprise
a divulgué une faille de sécurité dans son portail de paiement, et un mois après a divulgué une violation des données client dans la boutique OnePlus.Ce programme de bug bounty est cependant un peu différent de ses équivalents d'autres sociétés, et cela est dû aux montants des paiements. Alors que d'autres sociétés sont prêtes à offrir plusieurs centaines de milliers de dollars pour une faille de sécurité très critique, OnePlus offre jusqu'à 7 000 $ pour ce qu'il considère comme les menaces les plus critiques, tandis que les bugs plus petits iront aussi bas que $50-$100. Le Page Politique de soumission clarifie la position de OnePlus sur la divulgation responsable/coordonnée, l'interaction avec le compte, les méthodes d'attaque interdites, les problèmes inéligibles et enfin les paiements.
Voici la liste des niveaux de récompense :
- Cas particuliers: jusqu'à 7 000 $
- Critique: 750 $ à 1 500 $
- Haut: 250 $ à 750 $
- Moyen: 100 $ - 250 $
- Bas: 50 $ à 100 $
Bien que 7 000 $ soit une somme décente pour certaines personnes, c'est très loin de ce que proposent d'autres entreprises. Avec une entreprise de la taille et de l'envergure de OnePlus - elle s'est beaucoup développée depuis le lancement du OnePlus One il y a 5 ans - on s'attendrait à ce que les paiements pour un tel programme soient juste un peu plus généreux. Néanmoins, nous espérons que le programme contribuera à améliorer la sécurité des produits OnePlus. Vous pouvez soumettre des rapports de bogues ici.
OnePlus annonce également qu'il collaborera avec HackerOne, une plateforme de bug bounty alimentée par des hackers, pour lancer un programme pilote en 2020, invitant certains chercheurs en sécurité à tester leurs systèmes contre d'éventuels des menaces.
Source: OnePlus