Nicolas Marchetti 正在圣丽塔杜萨普卡伊的 Inatel 学习电信工程。他花了三天时间在 X 奖励计划中进行测试。分析揭示了一个高度严重的缺陷,直接影响了该平台的财务运营。学生通过HackerOne平台发送报告,等待公司评估。
奖励达到5,000美元,按当时汇率计算,相当于25,000雷亚尔左右。 Marchetti 已经在 X 中发现了其他漏洞,但这是第一个产生大额付款的漏洞。另外两份报告被认为是重复的并且没有产生任何值。
公司验证流程
X 经过内部分析后将故障归类为严重故障。据研究人员本人告知,纠正发生在很短的时间内。马尔凯蒂使用流量监控工具来识别利用点。他改变了具体参数并证明了获得不当经济收益的可能性。
该公司对技术细节保密。由于保密条款,学生也无法透露确切的方法。不过,他在 LinkedIn 上表示,这项工作需要坚持和反复测试。
- 在错误赏金计划中获得的第一个经济奖励
- 额外每秒 100 美元的小漏洞
- 两份报告被列为未付费重复报告
研究人员简介和学术背景
马尔凯蒂是国家电信学院的普通学生。该机构培养专注于网络和通信系统的专业人员。该学生强调,奖励计划需要扎实的技术知识和持续的创造力。
他计划继续参与类似的举措。这一经验强调了独立研究人员在识别数字风险方面的重要性。来自世界各地的其他专业人士也通过同一渠道向 X 发送报告。
修正的实际影响
经安全团队确认后,平台已删除该漏洞。用户没有遭受损失,因为故障在整个过程中都是保密的。该案例表明,科技公司保持负责任报告的开放渠道。
HackerOne 等计划将公司与外部专家联系起来。这种做法缩短了发现问题和纠正问题之间的时间。马尔凯蒂强调,坚持检测对于取得积极结果至关重要。
学生的下一步
该大学生打算加深信息安全方面的学习。他已经获得了研究界的认可。该奖励代表您职业轨迹中的一个初始里程碑。
其他公司也维持类似的计划,向任何国家的参与者开放。该模型鼓励在犯罪分子利用漏洞之前寻找漏洞。马尔凯蒂继续在专业档案中记录他的发现。