Το Nícolas Marchetti κάνει μαθήματα Engenharia από Telecomunicações σε Inatel, σε Santa Rita από Sapucaí. Το Ele αφιέρωσε τρεις ημέρες στις δοκιμές στο πλαίσιο του προγράμματος επιβράβευσης X. Η ανάλυση αποκάλυψε ένα ελάττωμα υψηλής σοβαρότητας που επηρέασε άμεσα τις οικονομικές λειτουργίες της πλατφόρμας. Ο μαθητής έστειλε την αναφορά μέσω της πλατφόρμας HackerOne και περίμενε την αξιολόγηση της εταιρείας.
Η ανταμοιβή έφτασε τα 5.000 $ ΗΠΑ, ποσό που ισοδυναμεί με περίπου 25.000 R$ με τη συναλλαγματική ισοτιμία της περιόδου. Το Marchetti είχε ήδη βρει άλλες ευπάθειες στο X, αλλά αυτό ήταν το πρώτο που δημιούργησε μια σημαντική πληρωμή. Οι πρόσθετες αναφορές Dois θεωρήθηκαν διπλότυπες και δεν απέδωσαν τιμές.
Επαλήθευση Processo από εταιρεία
Ο Χ ταξινόμησε την αποτυχία ως σοβαρή μετά από εσωτερική ανάλυση. Η διόρθωση έγινε μέσα σε σύντομο χρονικό διάστημα, όπως ενημέρωσε ο ίδιος ο ερευνητής. Το Marchetti χρησιμοποίησε εργαλεία παρακολούθησης της κυκλοφορίας για να εντοπίσει το σημείο εκμετάλλευσης. Το Ele άλλαξε συγκεκριμένες παραμέτρους και απέδειξε την πιθανότητα αδικαιολόγητου οικονομικού κέρδους.
Η εταιρεία κράτησε τις τεχνικές λεπτομέρειες εμπιστευτικές. Ο μαθητής επίσης δεν μπορεί να αποκαλύψει την ακριβή μέθοδο λόγω ρητρών εμπιστευτικότητας. Ο Mesmo μοιράστηκε έτσι στο LinkedIn ότι η εργασία απαιτούσε επιμονή και επαναλαμβανόμενες δοκιμές.
- Primeira οικονομική ανταμοιβή που ελήφθη στο πρόγραμμα επιβράβευσης σφαλμάτων
- Valor επιπλέον μικρή ευπάθεια 100 $ ανά δευτερόλεπτο
- Οι αναφορές Dois ταξινομούνται ως διπλότυπες χωρίς πληρωμή
Perfil του ερευνητή και ακαδημαϊκό πλαίσιο
Ο Marchetti είναι ο τακτικός μαθητής του Telecomunicações του Instituto Nacional. Το ίδρυμα εκπαιδεύει επαγγελματίες με έμφαση στα δίκτυα και τα συστήματα επικοινωνίας. Ο μαθητής τόνισε ότι τα προγράμματα επιβράβευσης απαιτούν στέρεες τεχνικές γνώσεις και συνεχή δημιουργικότητα.
Η Ele σχεδιάζει να συνεχίσει να συμμετέχει σε παρόμοιες πρωτοβουλίες. Η εμπειρία ενισχύει τη σημασία των ανεξάρτητων ερευνητών στον εντοπισμό των ψηφιακών κινδύνων. Οι επαγγελματίες του Outros από όλο τον κόσμο στέλνουν επίσης αναφορές στο X μέσω του ίδιου καναλιού.
Impacto πρακτική διόρθωση
Η πλατφόρμα αφαίρεσε την παραβίαση μετά από επιβεβαίωση από την ομάδα ασφαλείας. Το Usuários δεν υπέστη απώλειες επειδή η αποτυχία παρέμεινε εμπιστευτική καθ’ όλη τη διάρκεια της διαδικασίας. Η υπόθεση καταδεικνύει ότι οι εταιρείες τεχνολογίας διατηρούν ανοιχτούς διαύλους για υπεύθυνη αναφορά.
Το Programas όπως το HackerOne συνδέει εταιρείες με εξωτερικούς ειδικούς. Το πρακτικό Essa μειώνει το χρόνο μεταξύ της ανακάλυψης του προβλήματος και της διόρθωσης. Η Marchetti τόνισε ότι η επιμονή στη δοκιμή ήταν καθοριστική για το θετικό αποτέλεσμα.
Próximos μαθητικά βήματα
Ο πανεπιστημιακός σκοπεύει να εμβαθύνει τις σπουδές του στην ασφάλεια πληροφοριών. Το Ele έχει ήδη αναγνωριστεί στην ερευνητική κοινότητα. Η ανταμοιβή αντιπροσωπεύει ένα αρχικό ορόσημο στην επαγγελματική σας πορεία.
Οι εταιρείες Outras διατηρούν επίσης παρόμοια προγράμματα ανοιχτά σε συμμετέχοντες από οποιαδήποτε χώρα. Το μοντέλο ενθαρρύνει την αναζήτηση ελαττωμάτων πριν τα εκμεταλλευτούν οι εγκληματίες. Η Marchetti συνεχίζει να καταγράφει τις ανακαλύψεις της σε επαγγελματικά προφίλ.