ニコラス・マルケッティは、サンタ・リータ・ド・サプカイのイナテルで電気通信工学を学んでいます。彼は X 報酬プログラム内のテストに 3 日間を費やしました。分析の結果、プラットフォームの財務業務に直接影響を与える重大度の高い欠陥が判明した。学生は HackerOne プラットフォームを通じてレポートを送信し、企業の評価を待ちました。
賞金は 5,000 米ドルに達し、当時の為替レートで約 25,000 レアルに相当します。マルケッティ氏はすでに X の他の脆弱性を発見していましたが、多額の支払いが発生したのはこれが初めてでした。追加の 2 つのレポートは重複とみなされ、値は生成されませんでした。
企業による検証プロセス
X は内部分析の結果、障害を重大なものとして分類しました。研究者自身が報告したように、修正は短期間で行われた。マルケッティ氏は、トラフィック監視ツールを使用して悪用ポイントを特定しました。彼は特定のパラメータを変更し、不当な金銭的利益の可能性を証明しました。
同社は技術的な詳細を機密としていた。また、秘密保持条項により、学生は正確な方法を開示することはできません。それでも、この作業には粘り強くテストを繰り返す必要があると彼は LinkedIn で共有しました。
- バグ報奨金プログラムで初めて金銭的報酬を獲得
- 追加で 1 秒あたり 100 ドルの軽微な脆弱性
- 未払いの重複として分類された 2 つのレポート
研究者のプロフィールと学術的背景
マルケッティは国立電気通信大学の正規学生です。この機関は、ネットワークと通信システムに重点を置いた専門家を訓練しています。学生は、報酬プログラムには確かな技術知識と絶え間ない創造性が必要であることを強調しました。
今後も同様の取り組みに参加していく予定だという。この経験は、デジタルリスクを特定する上で独立した研究者の重要性を強調します。世界中の他の専門家も、同じチャネルを通じて X にレポートを送信します。
修正の実際的な影響
プラットフォームはセキュリティチームからの確認後、侵害を削除しました。プロセス全体を通じて障害は機密のままであったため、ユーザーは損失を被ることはありませんでした。この事例は、テクノロジー企業が責任ある報告のためのオープンなチャネルを維持していることを示しています。
HackerOne のようなプログラムは、企業と外部の専門家を結びつけます。これにより、問題の発見から修正までの時間が短縮されます。マルケッティ氏は、検査へのこだわりが陽性結果の決定的な要因となったと強調した。
生徒の次のステップ
大学生は情報セキュリティの研究を深めたいと考えています。彼はすでに研究コミュニティ内で認められています。この報酬は、あなたのプロフェッショナルとしての軌跡における最初のマイルストーンを表します。
他の企業も、どの国からの参加者でも参加できる同様のプログラムを維持しています。このモデルは、犯罪者が悪用する前に欠陥を探索することを奨励します。マルケッティ氏は、自身の発見を専門家プロフィールに記録し続けています。