โปรแกรม Bug Bounty อาจฟังดูดี แต่ก็ไม่ได้จัดการได้ดีเสมอไป

โปรแกรม Bug Bounty ตั้งค่าโดยองค์กรขนาดใหญ่เพื่อให้รางวัลและยกย่องนักวิจัยด้านความปลอดภัยสำหรับการรายงานข้อบกพร่องใหม่และช่องโหว่ด้านความปลอดภัยอย่างเหมาะสมเป็นแนวคิดที่ดี แต่ในทางปฏิบัติอาจไม่ได้รับการจัดการที่ดีเสมอไป เมื่อเร็ว ๆ นี้ Adam Zabrocki นักวิจัยด้านความปลอดภัยได้แบ่งปันปัญหาที่เขาพบในการจัดการข้อบกพร่องที่ Google สำหรับ Chrome OS และในทางกลับกันสำหรับ Intel ที่มีช่องโหว่ของไดรเวอร์กราฟิกเคอร์เนล i915 Linux

Adam Zabrocki เป็นนักวิจัยด้านความปลอดภัยที่ค้นพบช่องโหว่ของโปรแกรมควบคุมกราฟิกเคอร์เนล Intel Linux”i915″ซึ่งเผยแพร่สู่สาธารณะเมื่อต้นเดือนนี้ ศักยภาพการเข้าถึงหน่วยความจำนอกขอบเขตอาจนำไปสู่การเพิ่มสิทธิ์สำหรับผู้ใช้ภายในเครื่อง เขาค้นพบปัญหาเมื่อปีที่แล้ว แต่ส่งไปยัง Google โดยเป็นส่วนหนึ่งของโปรแกรมแก้ไขบั๊กของ Chrome OS เนื่องจากกราฟิก Intel มักใช้กับ Chromebook ในที่สุดเขาก็ได้รับความช่วยเหลือจาก Google และ Intel ในขณะที่กำลังดำเนินการแก้ไขไดรเวอร์เคอร์เนล i915 ซึ่งเดิมไม่ได้ระบุว่าเป็นการรายงานข้อผิดพลาด

Zabrocki เขียนบล็อกโพสต์ขนาดยาวเกี่ยวกับความท้าทายในการจัดการกับรางวัลข้อบกพร่องจากประสบการณ์การทำงานกับ Google และ Intel เป็นการอ่านที่ยาวแต่ค่อนข้างน่าสนใจและสรุปขอบเขตของการจัดการเงินรางวัลบั๊กที่ฉันไม่เคยรู้มาก่อน

ในบรรดาบทเรียนที่ได้รับจาก Zabrocki:

“ประสบการณ์ของฉันกับข้อผิดพลาดที่เลวร้ายกว่าที่ฉันคาดไว้มาก โดยเฉพาะอย่างยิ่งทัศนคติของ Google ที่จะนิ่งเงียบตลอดไปจนกระทั่งสิ่งต่างๆ ผิดพลาดอย่างน่ากลัว/เห็นได้ชัด จากนั้นพวกเขาก็พยายาม รับผิดชอบทุกอย่างบน Intel และโน้มน้าวฉันว่านั่นไม่ใช่ปัญหาของพวกเขาแม้ว่าจะมีรายงานข้อผิดพลาดถึงพวกเขาก็ตาม และพวกเขาจัดการกับการสื่อสารได้ดีมาก (!) ในฐานะนักวิจัย คุณสามารถทำอะไรได้บ้าง ไม่มีอะไรเลย

Intel พลาดอย่างแรง แต่พวกเขาพยายามอย่างดีที่สุดเพื่อแก้ไขสิ่งที่พวกเขาทำผิดพลาด (และสิ่งที่ยังแก้ไขได้ ณ จุดนั้น) ซึ่งตรงกันข้ามกับทัศนคติของ Google Intel ไม่ได้ตำหนิใครเลย และพวกเขาก็ไม่ได้พยายาม โน้มน้าวฉันว่าพวกเขาทำดีที่สุดแล้วและไม่เพิกเฉย

เป็นเรื่องที่ควรค่าแก่การกล่าวถึงว่า Intel ขอโทษอย่างเป็นทางการสำหรับวิธีการจัดการกับคดีนี้: “(…) เราอยากจะขอโทษสำหรับวิธีการของคดีนี้ ได้รับการจัดการ เราเข้าใจดีว่าการกลับไปกลับมากับเราเป็นเรื่องที่น่าหงุดหงิดและเป็นกระบวนการที่ยาวนาน (…)“. อย่างไรก็ตาม ไม่มีอะไรเกิดขึ้นในส่วนของ Google

หากข้อผิดพลาดนี้มีประโยชน์จริง ๆ จากมุมมองของความสามารถในการแสวงหาประโยชน์ ดูเหมือนว่าตัวเลือกที่ดีที่สุดคือการปัดฝุ่นผู้ติดต่อเก่าของนายหน้า (หากเราไม่ทิ้งคำถามทางศีลธรรมไว้) พวกเขาไม่เคยล้มเหลวมากนัก (อย่างน้อยก็เป็นประสบการณ์ของฉัน) แม้ว่าพวกเขาจะไม่สมบูรณ์แบบเช่นกัน

BTW. เพื่อความเป็นธรรม ยังมีตัวอย่างเชิงบวกของโปรแกรมรางวัลค่าบั๊ก”

อ่านเพิ่มเติมเกี่ยวกับประสบการณ์ค่าบั๊กของอดัมได้ที่ บล็อก