PROGRAMMA-INZICHTEN VAN HET PAYPAL-BEVEILIGINGSTEAM

Het initiatief is voor ons een kans om extern gedetecteerde kwetsbaarheden te verzamelen en te repareren.

Het digitale betalingsnetwerk van PayPal stelt 267 miljoen actieve accountgebruikers in meer dan 200 markten over de hele wereld in staat om op nieuwe manieren verbinding te maken en te handelen, online, via een app of persoonlijk. Ze stellen gebruikers en verkopers in staat om geld te ontvangen in meer dan 100 valuta’s, geld op te nemen in 56 valuta’s en saldo’s op hun PayPal-rekeningen in 25 valuta’s te behouden, dankzij een mix van technologische innovatie en strategische relaties. Het beveiligingsteam is elke dag verantwoordelijk voor het assisteren van deze handelaren en consumenten bij het beschermen van hun financiële informatie.

We spraken met PayPal Information Security Engineers Ray Duran, Sonal Shrivastava en Pax Whitmore, evenals projectmanager Rebecca Francom, om meer te weten te komen over hoe PayPal samenwerkt met onderzoekers, de reis van een gemeld probleem en de belangrijkste resultaten. Kijk eens!

V: Hoe kwam PayPal überhaupt op het idee voor een bug bounty-programma?

Ray: De veiligheid van onze klanten en ons merk is van cruciaal belang, en de introductie van een bug bounty-programma zorgde voor een wereldwijde samenwerking om ervoor te zorgen dat de veiligheid van onze klanten een topprioriteit blijft. Het initiatief is voor ons een kans om extern gedetecteerde kwetsbaarheden te verzamelen en te repareren. Door een wereldleider te zijn in de beveiligingsgemeenschap, is het doel van ons team om de klanten, verkopers en gegevens van PayPal te beschermen. Ons interne doel is om net zo wendbaar te zijn als onze ontwikkelingsteams en om hen beveiligingshulp te bieden. Ons externe doel is om gezocht te worden door de gemeenschap van beveiligingsonderzoekers en om kwetsbaarheidsinformatie terug te geven aan de industrie voor de verbetering van online applicaties.

Vraag: Kun je me vertellen hoe het programma in de loop van de tijd is veranderd?

Rebecca: We hebben veel geleerd in ons programma en zijn gaandeweg verbeteringen blijven aanbrengen – onze reikwijdte uitbreiden, algemene voorwaarden aanpassen om ons programma concurrerend te houden met de industriestandaarden, en meer. Onze premie-uitbetalingen zijn gestegen, we hebben verschillende nieuwe aanwinsten toegevoegd en ons programma heeft internationale erkenning gekregen.

V: PayPal heeft al jaren zijn eigen bug bounty-programma. Wat zijn de voordelen van overstappen naar een platform?

Ray: We zijn gevorderd van het accepteren van inzendingen via e-mail naar het bouwen van ons eigen platform tot officieel werken met HackerOne gedurende de duur van ons programma. Dankzij deze stap konden we het programma uitbreiden van ongeveer 2.000 beveiligingsonderzoekers naar meer dan 300.000. Ons doel is om alle wetenschappers over de hele wereld de mogelijkheid te bieden om deel te nemen aan ons steeds groter wordende programma. We waren in staat om dit te doen dankzij onze samenwerking met HackerOne. Door lid te worden van HackerOne kunnen we ons afstemmen op de industrienormen, terwijl we ook vanuit onze eigen ervaringen iets terug kunnen doen aan de gemeenschap.

V: Hoe is de algemene beveiligingshouding en strategie van PayPal beïnvloed door het bug bounty-programma?

Pax: Strategie, automatisering, pentesten en incidentrespons zijn slechts enkele van de geweldige, toegewijde beveiligingsteams van PayPal. Het bug bounty-programma maakt daar deel van uit, en kwetsbaarheden die via ons programma worden ontdekt, worden gedeeld met onze andere teams (we noemen dit het “backstop”-programma). We hebben gevallen gezien waarin we een proactief beheer of controle op framework-niveau hebben kunnen bijwerken als gevolg van een probleem dat is ontdekt via een bugbounty-verzoek. Dit is niet omdat er iets over het hoofd werd gezien; het is omdat onderzoekers van buitenaf ons een nieuw perspectief bieden.

Werken met bug bounty-onderzoekers leert me elke dag iets nieuws, en dat te kunnen delen met collega’s die net zo toegewijd en gedreven zijn, is een groot genoegen.

V: Wat zijn tot nu toe enkele van je meest memorabele ontmoetingen met hackers geweest? Zijn er bugs die het vermelden waard zijn?

Pax: Er zijn veel te veel fantastische inzendingen geweest om ze allemaal op te noemen, maar een die er voor mij uitspringt, is een Struts zero-day die begin 2017 werd ontdekt. ​​De onderzoeker had geholpen bij het ontdekken van de fout, wat zou kunnen resulteren in Remote Code Uitvoering (RCE) vanwege onjuiste foutafhandeling in HTTP-headers. Na het indienen van de informatie bij Apache, verspreidde de onderzoeker deze naar een aantal bug bounty-programma’s. We waren in staat om een ​​snelle reactie te coördineren en WAF-regels toe te passen om kwaadwillend verkeer te stoppen dankzij hun harde werk, zelfs voordat de exploit openbaar werd gemaakt of een oplossing werd vrijgegeven. We konden ook nieuwe aanvalsvectoren ontdekken en onze bevindingen delen met de rest van de wereld. Het was een fantastisch voorbeeld van de voordelen van bug bounty-onderzoekers, evenals een aantal zeer verbazingwekkende beveiligingswerkzaamheden.

We hebben de afgelopen zes maanden met veel plezier verschillende nuttige Android-app-items ontvangen. We hechten veel waarde aan mobiele applicaties en het is opwindend om te zien dat er baanbrekend onderzoek wordt gedaan. We streven naar solide, langdurige partnerschappen met mobiele beveiligingsprofessionals, met name bagipro!

Vraag: Vertel ons meer over de reis van een bug. Wat gebeurt er nadat het is gemeld?

Sonal: Wanneer een beveiligingsprobleem door een onderzoeker aan HackerOne wordt bekendgemaakt,

1. Het HackerOne-team beoordeelt de klacht.

2. Alle gevalideerde resultaten worden voor verder onderzoek naar het Bug Bounty-team van PayPal gestuurd.

3. Het PayPal Bug Bounty-team dupliceert het probleem en evalueert de risiconiveaus.

4. Als het rapport correct is, dan:

  • De onderzoeker wordt betaald zodra een beloning is bepaald op basis van de CVSSv3-risicobeoordeling.
  • Het probleem wordt vervolgens geëscaleerd, er wordt een ticket gemaakt en de ontwikkelingsteams worden gewaarschuwd. Deze groepen zijn verantwoordelijk voor het repareren van de fout.
  • Het Bug Bounty-team certificeert de oplossing en sluit het interne probleem en het HackerOne-ticket zodra het is opgelost. De onderzoeker en het HackerOne-team worden vaak ingeschakeld om te helpen bij de verificatie van de reparatie.
  • Als de bevinding ongeldig is (duplicaat bijvoorbeeld), stuurt het Bug Bounty-team het rapport terug naar HackerOne met een uitleg.

5. Nadat een kwetsbaarheid is aangepakt en verholpen, beoordelen we regelmatig verzoeken om openbaarmaking die we krijgen.

Vanwege het uitgebreide ecosysteem van PayPal en onze activa komen we af en toe situaties tegen die meer due diligence vereisen om te bepalen of het probleem een ​​gevaar vormt. Deze extra controle kan een vertraging in de triage veroorzaken. Deze extra controle kan een vertraging in de triage veroorzaken. Hoewel de methode voor alle rapporten hetzelfde is, duurt de authenticatie van bepaalde rapporten langer, waardoor de betaling van de onderzoeker vertraging oploopt.

V: Welke bugs prikkelen uw team het meest? Met andere woorden, welke bevindingen fascineren uw team het meest?

Sonal: wanneer een onderzoeker een RCE meldt, krijgt het de aandacht die het verdient, met een hoge zichtbaarheid en snelle oplossingstijdlijnen. We moeten ons ook bewust zijn van kwetsbaarheden die verband houden met server-side aanvallen en database-aanvallen. Enkele van de meest intrigerende bijdragen, aan de andere kant, zijn gebreken met een laag risico die aan elkaar kunnen worden geregen voor een grotere impact. We zijn ook extatisch wanneer we een goed geschreven rapport ontvangen, en we bieden hen regelmatig bonussen aan. Het is vermeldenswaard dat creativiteit niet altijd effectiviteit impliceert, en een voorstel met een goed geformuleerde impactverklaring wordt eerder geaccepteerd dan een POC die moeilijk lijkt.

V: Wat zijn de voordelen van hackers die deelnemen aan uw programma? Welke raad zou je ze geven als je in hun schoenen stond?

Pax: We hebben geweldige input gekregen van onderzoekers, naast een aantal geweldige, creatieve inzendingen. We willen dat hackers ons uitdagen en leren, en een wederzijds vertrouwde en respectvolle relatie ontwikkelen. Houd het beknopt, onderbouw verklaringen met bewijs en toon een duidelijke impact: de mooiste inzendingen spreken altijd zacht en dragen een zware stok. Het gaat nooit over wat je weet als het gaat om kwetsbaarheden; het gaat altijd om wat je kunt bewijzen.

Als u verbinding wilt maken met een serviceprovider voor klantenondersteuning, kunt u contact met hen opnemen via PayPal Bellen Nederland.

Lees hier meer berichten: https://www.klusster.com/portfolios/robertwesle/contents/274548?code=271c9a7f-834a-417d-8d9d-e4c0ccff5aa0

Published by AangieAngie

Ik ben Angela Angie, mijn bedrijf biedt technische ondersteuning aan klanten die problemen hebben met hun laptop en computer (hardware en software), printer enz. https://klantenservicenederland.co/hotmail/

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

Create your website with WordPress.com
Get started
%d bloggers like this: