Nícolas Marchetti kursseja Engenharia Telecomunicações:stä Inatel:iin, Santa Rita:iin Sapucaí:stä. Ele omisti kolme päivää X-palkkio-ohjelman testaamiseen. Analyysi paljasti erittäin vakavan puutteen, joka vaikutti suoraan alustan taloudelliseen toimintaan. Opiskelija lähetti raportin HackerOne-alustan kautta ja odotti yrityksen arviointia.
Palkinto oli 5 000 US$, mikä vastaa noin 25 000 R$ kauden valuuttakurssilla. Marchetti oli jo löytänyt muita haavoittuvuuksia X:stä, mutta tämä oli ensimmäinen, joka tuotti merkittävän maksun. Dois-lisäraportteja pidettiin kaksoiskappaleina, eivätkä ne tuottaneet arvoja.
Yrityksen Processo-vahvistus
X luokitteli vian vakavaksi sisäisen analyysin jälkeen. Korjaus tapahtui lyhyessä ajassa, kuten tutkija itse ilmoitti. Marchetti käytti liikenteen seurantatyökaluja hyödyntämiskohdan tunnistamiseen. Ele muutti tiettyjä parametreja ja osoitti kohtuuttoman taloudellisen hyödyn mahdollisuuden.
Yhtiö piti tekniset tiedot luottamuksellisina. Opiskelija ei myöskään voi paljastaa tarkkaa menetelmää salassapitolausekkeiden vuoksi. Näin ollen Mesmo jakoi LinkedInissä, että työ vaati sinnikkyyttä ja toistuvaa testausta.
- Primeira taloudellinen palkkio, joka on saatu bug bounty -ohjelmasta
- Valor ylimääräinen 100 dollaria sekunnissa pieni haavoittuvuus
- Dois-raportit on luokiteltu kaksoiskappaleiksi ilman maksua
Tutkijan ja akateemisen kontekstin Perfil
Marchetti on Instituto Nacional:n Telecomunicações:n säännöllinen opiskelija. Laitos kouluttaa ammattilaisia, jotka keskittyvät verkkoihin ja viestintäjärjestelmiin. Opiskelija korosti, että palkitsemisohjelmat edellyttävät vankkaa teknistä osaamista ja jatkuvaa luovuutta.
Ele aikoo jatkaa osallistumista vastaaviin hankkeisiin. Kokemus vahvistaa riippumattomien tutkijoiden merkitystä digitaalisten riskien tunnistamisessa. Outros-ammattilaiset kaikkialta maailmasta lähettävät myös raportteja X:lle saman kanavan kautta.
Impacto käytännön korjaus
Alusta poisti rikkomuksen turvallisuustiimin vahvistuksen jälkeen. Usuários ei kärsinyt tappioita, koska vika pysyi luottamuksellisena koko prosessin ajan. Tapaus osoittaa, että teknologiayritykset ylläpitävät avoimia kanavia vastuulliseen raportointiin.
Programas, kuten HackerOne, yhdistää yritykset ulkopuolisiin asiantuntijoihin. Käytännöllinen Essa vähentää ongelman havaitsemisen ja korjaamisen välistä aikaa. Marchetti korosti, että testaamisen vaatiminen oli ratkaisevaa positiivisen tuloksen kannalta.
Próximos opiskelijan askeleet
Yliopisto-opiskelija aikoo syventää tietoturva-opintojaan. Ele on jo saanut tunnustusta tutkimusyhteisössä. Palkinto on ensimmäinen virstanpylväs ammatillisella urallasi.
Outras-yritykset ylläpitävät myös vastaavia ohjelmia, jotka ovat avoimia osallistujille mistä tahansa maasta. Malli rohkaisee etsimään puutteita ennen kuin rikolliset käyttävät niitä hyväkseen. Marchetti dokumentoi edelleen löytönsä ammattiprofiileihin.