Wordfence, une entreprise bien connue dans le domaine de la cybersécurité, a récemment lancé un nouveau programme de bug bounty. Cette initiative vise à offrir des incitations financières aux chercheurs en sécurité qui signalent des vulnérabilités à haut risque à l'entreprise.
Une fois que les chercheurs ont révélé des vulnérabilités dans Wordfence, l'entreprise les gère et les communique de manière confidentielle aux fournisseurs pour y remédier. Lorsque le correctif est publié, la vulnérabilité est incluse dans la base de données publique Wordfence, librement accessible, suivant une politique de divulgation responsable.
Chloé Chamberland, analyste en sécurité chez Wordfence, a déclaré : «Il n'y a pas de limite aux récompenses qu'un chercheur individuel peut gagner, et chaque vulnérabilité pertinente reçue via notre processus de soumission mérite une récompense. »
Wordfence récompensera les chercheurs qui découvrent des vulnérabilités dans les plugins et les thèmes avec plus de 50.000 XNUMX installations actives. Voici quelques exemples de paiement :
- $1.600 pour le téléchargement arbitraire de fichiers non authentifiés, l'exécution de code à distance, l'augmentation des privilèges d'administrateur ou les options de mise à jour arbitraire dans un plugin ou un thème avec plus d'un million d'installations actives.
- $1.060 pour la suppression arbitraire de fichiers non authentifiés dans un plugin ou un thème avec plus d'un million d'installations actives, en supposant que wp-config.php puisse être facilement supprimé.
- $800 pour une injection SQL non authentifiée dans un plugin ou un thème avec plus d'un million d'installations actives.
- $320 pour une vulnérabilité de script intersite non authentifié dans un plugin ou un thème avec plus d'un million d'installations actives.
- $80 pour une vulnérabilité Cross-Site Request Forgery dans un plugin ou un thème avec plus d’un million d’installations actives et un impact significatif.
Les récompenses de notre programme Bug Bounty sont conçues pour avoir le plus grand impact positif sur la sécurité de l’écosystème WordPress. Les récompenses ne sont pas gagnées par la recherche massive de vulnérabilités à faible impact pour gagner une place dans un classement, mais sont basées sur le nombre d'installations actives, la criticité de la vulnérabilité, la facilité d'exploitation et la prévalence du type de vulnérabilité.
dit Chamberland.
Le lancement du programme de bug bounty de Wordfence vise clairement à se positionner de manière compétitive, en défiant indirectement Patchstack, qui exploite son programme sur un système de classement où seuls les meilleurs chercheurs sont payés. Il existe quelques différences notables, certaines récompenses étant attribuées à discrétion, mais la plupart des récompenses individuelles récompensent le score le plus élevé dans diverses catégories :
Patchstack garantit une cagnotte mensuelle d'au moins 2425 650 $ (la cagnotte la plus basse possible). Le membre de Patchstack Alliance qui collecte le plus de points pour un mois donné à partir de ses rapports soumis recevra une récompense de 350 $, la deuxième place recevra 250 $ et la troisième place recevra XNUMX $.
Il existe des récompenses supplémentaires (récompenses uniques) pour signaler la vulnérabilité avec le score de base le plus élevé selon CVSS ver. 3.1 ; le nombre d'installations actives le plus élevé ; et de signaler un groupe de composants affectés par la même vulnérabilité.
Patchstack peut récompenser des membres individuels de Patchstack Alliance à sa discrétion en fonction de l'impact global des vulnérabilités qu'ils découvrent.
Wordfence adopte une approche différente pour payer pour chaque vulnérabilité signalée dans le cadre identifié par le programme.
Les chercheurs de l’écosystème WordPress doivent se familiariser avec les différents programmes de bug bounty et déterminer la meilleure voie pour leurs rapports. Certains plugins et sociétés, tels que Elementor, Brainstorm Force, Automattic, Castos et WP Engine, disposent de leurs propres programmes de bug bounty, avec une gamme de paiements différents.
Nous payons plus par vulnérabilité et nous payons pour chaque vulnérabilité valide soumise. Nous pensons que c'est la seule bonne façon de procéder, car la gamification d'un programme de vulnérabilité, c'est comme si tous les employés travaillaient, mais seuls ceux au sommet étaient payés. Si vous soumettez une vulnérabilité valide, vous devriez être payé pour votre travail.
a déclaré Mark Maunder, PDG de Wordfence.
Maunder soutient que de mauvaises incitations diminuent la qualité des recherches soumises.
Il existe un nombre extrêmement élevé de vulnérabilités à faible risque et de mauvaise qualité soumises à des bases de données comme Patchstack, les vulnérabilités impliquant la falsification de requêtes intersites en sont un exemple. Les incitations que nous observons encouragent les chercheurs à générer un volume élevé de vulnérabilités à faible risque pour être récompensés. Ces chiffres élevés sont ensuite utilisés pour commercialiser des produits de sécurité.
Maunder a déclaré que Wordfence a structuré son programme pour déplacer les incitations vers la recherche de vulnérabilités à haut risque, plutôt que d'améliorer les mesures marketing pour une base de données de vulnérabilités particulière.
Un volume élevé de vulnérabilités à faible risque dans une base de données particulière nuit au secteur car cela crée du travail pour d'autres organisations qui doivent intégrer ces données, mais pour la plupart, il ne s'agit que d'un bruit inutile que nous sommes obligés de passer au crible, plutôt que de poser des questions. un risque réel pour la communauté des utilisateurs
» dit Maunder.
En tant que nouvelle entrée dans le groupe des sociétés WordPress proposant des bug bounties, Wordfence entre sur le marché avec l'intention d'attirer davantage de rapports grâce à des bonus supplémentaires (10 % pour les 6 premiers mois) et une structure de bonus qui récompense l'enchaînement de plusieurs vulnérabilités, une documentation complète. et d'autres efforts supplémentaires.
Tous les auteurs d’un plugin ou d’un thème populaire ne peuvent pas se permettre de proposer leur propre programme de bug bounty, et c’est là que les sociétés de sécurité interviennent pour combler les lacunes. Une concurrence accrue entre les entreprises pour une recherche de haute qualité ne peut être qu’une bonne chose pour les utilisateurs de WordPress, car elle incite davantage à la sécurité des écosystèmes et attirera potentiellement des chercheurs plus qualifiés. Les programmes de bug bounty évolueront probablement au fil du temps, à mesure que les entreprises les affinent pour offrir la meilleure valeur possible à la recherche originale.