Centrum reagowania na bezpieczeństwo OnePlus to firmowy program nagród za błędy dla osób zainteresowanych zarabianiem za znajdowanie luk w zabezpieczeniach.
Cyberbezpieczeństwo jest ważniejsze niż kiedykolwiek wcześniej, gdy wkraczamy w nową dekadę, która z pewnością ponownie radykalnie zmieni technologię, jaką znamy. Niezależnie od tego, jak duży jest Twój zespół programistów i jak dokładnie testujesz swoje oprogramowanie, niektóre krytyczne luki i błędy w większości przypadków przedostają się do stabilnego oprogramowania. Właśnie dlatego kilka firm, w tym Samsung, Google, i Huaweia, prowadzą programy nagród za błędy, które pozwalają badaczom bezpieczeństwa przetestować oprogramowanie firmy i otrzymać bardzo hojną sumę pieniędzy, jeśli uda im się znaleźć krytyczny exploit. OnePlus dołącza teraz do tej listy firm, ponieważ oni obiecał na początku tego roku.
OnePlus zaprezentował własny program nagród za błędy, który nazywa OnePlus Security Response Center, w skrócie OneSCR. Założenie jest proste: jeśli (właściwie) znajdziesz lukę w zabezpieczeniach, możesz otrzymać pieniądze w zamian za (właściwe) jej zgłoszenie. Otwarcie tego programu następuje prawie dwa lata po firmie
ujawniła naruszenie bezpieczeństwa w swoim portalu płatniczymi miesiąc po nich ujawnił naruszenie danych klientów w sklepie OnePlus.Ten program nagród za błędy różni się jednak nieco od odpowiedników innych firm, a to ze względu na kwoty wypłat. Podczas gdy inne firmy są skłonne zaoferować kilkaset tysięcy dolarów za bardzo krytyczną lukę w zabezpieczeniach, OnePlus oferuje do 7000 dolarów za najbardziej krytyczne zagrożenia, a mniejsze błędy kosztują zaledwie $50-$100. The Strona z zasadami przesyłania wyjaśnia stanowisko OnePlus w sprawie odpowiedzialnego/skoordynowanego ujawniania informacji, interakcji z kontem, niedozwolonych metod ataku, niekwalifikujących się problemów i wreszcie płatności.
Oto lista poziomów nagród:
- Przypadki szczególne: do 7 000 USD
- Krytyczny: 750–1500 USD
- Wysoka: 250 - 750 dolarów
- Średni: 100 - 250 dolarów
- Niska: 50–100 USD
Chociaż dla niektórych osób 7 000 dolarów to przyzwoita suma, znacznie odbiega ona od tego, co oferują inne firmy. W przypadku firmy wielkości i zasięgu OnePlus – która znacznie się rozrosła, odkąd wypuściła OnePlus One 5 lat temu – można by oczekiwać, że wypłaty za taki program będą nieco hojniejsze. Mamy jednak nadzieję, że program pomoże poprawić bezpieczeństwo produktów OnePlus. Możesz przesyłać raporty o błędach Tutaj.
OnePlus twierdzi również, że będzie współpracować z HackerOne, platformą nagradzania błędów opartą na hakerach, aby uruchomić pilotażowy w 2020 r., w ramach którego wybrani badacze bezpieczeństwa będą testować swoje systemy pod kątem potencjału zagrożenia.
Źródło: OnePlus