最も人気のあるパスワードマネージャーの一つである1Passwordを開発するAgileBitsは、バグ発見の報奨金の上限を2万5000ドルから10万ドルに引き上げたと発表しました。この高額な報奨金は、「キャプチャー・ザ・フラッグ」型のコンテストの一環であり、研究者は1Passwordのパスワード保管庫から「悪い詩」の平文ファイルを入手する必要があります。
バグクラウド
Bugcrowdは、クラウドソーシングによるバグ報奨金プラットフォームです。企業はセキュリティ研究者の発見に対して報奨金プログラムを簡単に構築できます。これにより、研究者は作業に対する報酬を得やすくなり、様々なソフトウェアツールのセキュリティをさらに深く探求する意欲も高まります。Western Union、Pinterest、Heroku、Tesla、Fiat Chryslerなどの企業がBugcrowdプラットフォームを利用しています。
1Passwordのキャプチャー・ザ・フラッグ
一部の組織は、研究者が特定の分野に集中するよう促すため、Bugcrowdで「キャプチャー・ザ・フラッグ」チャレンジを実施しています。通常、研究者はベンダー製品にランダムなバグを発見した場合、少額の報酬を受け取ります。しかし、企業がキャプチャー・ザ・フラッグチャレンジを実施する場合、準備が万端で、課題もより具体的であるため、研究者が侵入するのはより困難です。そのため、企業は勝者に高額の報酬を提供する傾向があります。
AgileBitsは以前、研究者が暗号化されたパスワードボールトから「bad poetry(悪い詩)」フラグを取得するというCapture the Flagチャレンジで、25,000ドルのバグ発見賞金を設定していました。今回、同社は賞金を100,000ドルに引き上げました。これは以前の4倍であり、Bugcrowdプラットフォームにおける既存の賞金の中でも最高額となります。
「セキュリティは私たちの事業の中核です」と、AgileBitsのジェフ・シャイナー氏は述べています。「お客様とその情報を安全に保つために、私たちは全力を尽くす義務があります。これは、人々の創意工夫を活用し、1Passwordのセキュリティを継続的に向上させることを意味します。この貢献をいかに真剣に受け止めているかを示すことが重要であり、その証として賞金を増額しました」と彼は述べています。
最近、ある研究者が1Passwordを含む複数のパスワードマネージャーに複数の脆弱性を発見しました。しかし、3月1日の更新によると、すべてのベンダーが既にこれらのバグを修正しており、1Passwordもその影響を受けるはずです。
AgileBitsはまた、Cloudbleedなどの最近の出来事を受けて、企業がセキュリティを重視することがますます重要になっていると述べています。優れたバグ報奨金プログラムの導入は、企業が攻撃者の一歩先を行くのに役立つため、セキュリティ強化の手段の一つとなり得ます。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
