OnePlus Security Response Center er selskapets bug bounty-program for de som er interessert i å få betalt for å finne sikkerhetssårbarheter.
Cybersikkerhet er viktigere enn noen gang når vi går inn i et nytt tiår som garantert, igjen, radikalt vil endre teknologien slik vi kjenner den. Og uansett hvor stort utviklerteamet ditt er eller hvor grundig du tester programvaren din, klarer noen kritiske sårbarheter og feil fortsatt å krysse dammen til stabil programvare mye av tiden. Dette er grunnen til at flere selskaper, inkludert Samsung, Google, og Huawei, har bug-bounty-programmer som lar sikkerhetsforskere prøve selskapets programvare og gå unna med en veldig sjenerøs sum penger hvis de klarer å finne en kritisk utnyttelse. OnePlus slutter seg nå til denne listen over selskaper, ettersom de lovet tidligere i år.
OnePlus har avduket sitt eget bug bounty-program, som de kaller OnePlus Security Response Center, eller OneSCR for kort. Premisset er enkelt: Finner du (på riktig måte) en sårbarhet, kan du få penger mot å (på riktig måte) rapportere den. Åpningen av dette programmet kommer nesten to år etter selskapet
avslørte et sikkerhetsbrudd i betalingsportalen sin, og en måned etter de avslørt et brudd på kundedata i OnePlus Store.Dette bug-bounty-programmet er imidlertid litt annerledes sammenlignet med tilsvarende fra andre selskaper, og dette er på grunn av utbetalingsbeløp. Mens andre selskaper er villige til å tilby flere hundre tusen dollar for en svært kritisk sikkerhetssårbarhet, OnePlus tilbyr opptil $7 000 for det de anser for å være de mest kritiske truslene, mens mindre feil vil gå så lavt som $50-$100. De Innsendingspolicy-siden klargjør OnePlus' holdning til ansvarlig/koordinert avsløring, kontointeraksjon, ikke-tillatte angrepsmetoder, ikke-kvalifiserte problemer, og til slutt, betalingene.
Her er listen over belønningsnivåer:
- Spesielle tilfeller: opptil $7 000
- Kritisk: $750 - $1500
- Høy: $250 - $750
- Middels: $100 - $250
- Lavt: $50 - $100
Mens $7000 er en anstendig sum for noen mennesker, er det veldig langt unna hva andre selskaper tilbyr. Med et selskap av OnePlus sin størrelse og omfang - de har vokst seg mye større siden de lanserte OnePlus One for 5 år tilbake - forventer du at utbetalingene for et slikt program bare er litt mer sjenerøse. Ikke desto mindre håper vi programmet vil bidra til å forbedre sikkerheten til OnePlus-produkter. Du kan sende inn feilrapporter her.
OnePlus sier også at de vil samarbeide med HackerOne, en hackerdrevet bug bounty-plattform, for å lansere en pilotprogram i 2020, som inviterer utvalgte sikkerhetsforskere til å teste systemene sine mot potensial trusler.
Kilde: OnePlus