Groupon: Απλήρωτος ο ερευνητής που βρήκε προβλήματα ασφαλείας
Τα Bounty Programs περί προβλημάτων ασφαλείας ωφελούν τόσο τις εταιρείες όσο και τους ερευνητές — ή τουλάχιστον αυτό ισχύει στη θεωρία.
Πληθώρα σοβαρών προβλημάτων ασφαλείας στο site προσφορών Grοupοn εντόπισε ο ερευνητής Brute Logic από το XSSposed.org και, όπως γίνεται στο πλαίσιο κάθε Bounty Program, ανέμενε την αμοιβή του. Όμως οι υπεύθυνοι του Grοupοn είχαν διαφορετική άποψη.
Συνολικά ο Brute Logic παρουσίασε περισσότερες από 30 αδυναμίες που αφορούσαν στο Groupon, η εταιρεία όμως μίλησε για παραβίαση της πολιτικής περί Responsible Disclosure και αρνήθηκε να πληρώσει.
Αναλυτικότερα, οι αδυναμίες που ανακάλυψε ο Brute Login ήταν όλες της κατηγορίας XSS (cross-site scripting) και ορισμένες από αυτές διευκόλυναν σημαντικά τον επιτιθέμενο.
Ο ερευνητής επικοινώνησε με τη Grοupοn στις 17 Απριλίου και αμέσως τον πληροφόρησαν πως θα διερευνήσουν το θέμα. Αργότερα, οι υπεύθυνοι ασφαλείας του site επιβεβαίωσαν ότι εντόπισαν το πρόβλημα. Σε ερώτηση του Brute Logic για το ύψος της αμοιβής, του εξήγησαν ότι υπολογίζεται κατά περίπτωση και πως όταν θα το γνωρίζουν θα τον ενημερώσουν σχετικά.
Ως συνεργάτης του XSSposed.org, ο Brute Logic επικοινώνησε και με τους υπευθύνους του site και μία αναφορά σε συγκεκριμένη αδυναμία του Grοupοn δημοσιεύτηκε στο XSSposed.org. Αν και το σχετικό post δεν έμεινε πολύ ώρα online, το γεγονός στάθηκε αρκετό για το Grοupοn προκειμένου να αρνηθεί την πληρωμή λόγω παραβίασης των όρων περί υπεύθυνης αποκάλυψης αδυναμιών ασφαλείας.
Αναμενόμενα, ο Brute Logic δεν ευχαριστήθηκε με την τροπή που πήραν τα πράγματα. Εξήγησε μάλιστα πως μία άλλη εταιρεία, η Sucuri Security, δεν απέφυγε να πληρώσει ακόμη και μετά από tweet που φανέρωνε κάποιες λεπτομέρειες σχετικές με πρόβλημα ασφαλείας του προϊόντος της.
Πηγή: deltahacker.gr
