Nícolas Marchetti กำลังศึกษาวิศวกรรมโทรคมนาคมที่ Inatel ใน Santa Rita do Sapucaí เขาทุ่มเทเวลาสามวันในการทดสอบภายในโปรแกรม X Rewards การวิเคราะห์เผยให้เห็นข้อบกพร่องที่มีความรุนแรงสูงซึ่งส่งผลโดยตรงต่อการดำเนินงานทางการเงินของแพลตฟอร์ม นักเรียนส่งรายงานผ่านแพลตฟอร์ม HackerOne และรอการประเมินของบริษัท
รางวัลมีมูลค่าถึง 5,000 ดอลลาร์สหรัฐ ซึ่งเทียบเท่ากับประมาณ 25,000 เรียลเรอัล ตามอัตราแลกเปลี่ยนในช่วงเวลานั้น Marchetti พบช่องโหว่อื่นๆ ใน X แล้ว แต่นี่เป็นครั้งแรกที่สร้างการชำระเงินจำนวนมาก รายงานเพิ่มเติมสองฉบับถือว่าซ้ำกันและไม่มีค่าใดๆ
ขั้นตอนการตรวจสอบโดยบริษัท
X จัดประเภทความล้มเหลวว่ารุนแรงหลังจากการวิเคราะห์ภายใน การแก้ไขเกิดขึ้นภายในระยะเวลาอันสั้นตามที่ผู้วิจัยแจ้งเอง Marchetti ใช้เครื่องมือตรวจสอบการจราจรเพื่อระบุจุดของการแสวงหาผลประโยชน์ เขาเปลี่ยนพารามิเตอร์เฉพาะและพิสูจน์ความเป็นไปได้ที่จะได้รับผลประโยชน์ทางการเงินเกินควร
บริษัทเก็บรายละเอียดทางเทคนิคไว้เป็นความลับ นอกจากนี้นักศึกษายังไม่สามารถเปิดเผยวิธีการที่แน่นอนได้เนื่องจากข้อกำหนดการรักษาความลับ ถึงกระนั้น เขาก็แชร์บน LinkedIn ว่างานนี้ต้องใช้ความพากเพียรและการทดสอบซ้ำหลายครั้ง
- รางวัลทางการเงินครั้งแรกที่ได้รับจากโปรแกรม Bug Bounty
- เพิ่มเติม $100 ต่อวินาที
- รายงานสองฉบับจัดว่าเป็นรายการซ้ำที่ยังไม่ได้ชำระเงิน
ประวัตินักวิจัยและบริบททางวิชาการ
Marchetti เป็นนักเรียนประจำของสถาบันโทรคมนาคมแห่งชาติ สถาบันฝึกอบรมผู้เชี่ยวชาญโดยมุ่งเน้นที่เครือข่ายและระบบการสื่อสาร นักเรียนเน้นย้ำว่าโปรแกรมการให้รางวัลต้องใช้ความรู้ด้านเทคนิคที่แข็งแกร่งและความคิดสร้างสรรค์อย่างต่อเนื่อง
เขาวางแผนที่จะมีส่วนร่วมในโครงการริเริ่มที่คล้ายกันต่อไป ประสบการณ์ดังกล่าวตอกย้ำความสำคัญของนักวิจัยอิสระในการระบุความเสี่ยงทางดิจิทัล ผู้เชี่ยวชาญคนอื่นๆ จากทั่วโลกก็ส่งรายงานไปยัง X ผ่านช่องทางเดียวกันเช่นกัน
ผลกระทบในทางปฏิบัติของการแก้ไข
แพลตฟอร์มได้ลบการละเมิดหลังจากได้รับการยืนยันจากทีมรักษาความปลอดภัย ผู้ใช้ไม่ประสบความสูญเสียเนื่องจากความล้มเหลวยังคงเป็นความลับตลอดกระบวนการ กรณีนี้แสดงให้เห็นว่าบริษัทเทคโนโลยีรักษาช่องทางที่เปิดกว้างสำหรับการรายงานอย่างมีความรับผิดชอบ
โปรแกรมอย่าง HackerOne เชื่อมโยงบริษัทต่างๆ กับผู้เชี่ยวชาญภายนอก แนวทางปฏิบัตินี้จะช่วยลดเวลาระหว่างการค้นหาปัญหาและการแก้ไข Marchetti เน้นย้ำว่าการยืนกรานในการทดสอบถือเป็นปัจจัยชี้ขาดสำหรับผลลัพธ์ที่เป็นบวก
ก้าวต่อไปของนักเรียน
นักศึกษามหาวิทยาลัยรายนี้ตั้งใจที่จะศึกษาเพิ่มเติมในด้านความปลอดภัยของข้อมูล เขาได้รับการยอมรับในแวดวงการวิจัยแล้ว รางวัลนี้แสดงถึงก้าวแรกในเส้นทางอาชีพของคุณ
บริษัทอื่นๆ ยังมีโปรแกรมที่คล้ายกันซึ่งเปิดให้ผู้เข้าร่วมจากประเทศใดก็ได้ แบบจำลองนี้สนับสนุนการค้นหาข้อบกพร่องก่อนที่อาชญากรจะใช้ประโยชน์จากข้อบกพร่องเหล่านั้น Marchetti ยังคงบันทึกสิ่งที่เขาค้นพบไว้ในโปรไฟล์ทางวิชาชีพ