Leçons tirées des faux pas de bug bounty de l’application Clubhouse

par ·

  • Français


    • Clubhouse, comme de nombreuses entreprises à forte croissance, a lancé un programme de primes aux bogues avant de disposer de l’infrastructure ou de l’expertise nécessaires pour le faire fonctionner, explique un chercheur. (Marco Verch Photographe professionnel / CCC BY 2.0)

    Clubhouse est passé de non existant à une évaluation de 4 milliards de dollars en à peine un an. Mais, comme le décrit Katie Moussouris, gourou du bug bounty et PDG de Luta Security, dans un nouveau blog, cette croissance rapide les a préparés à un écueil de sécurité commun.

    Intéressant, ce problème de sécurité n’est pas lié à des vulnérabilités – bien que Moussouris en décrit deux qu’elle a révélées à l’application de médias sociaux en plein essor, qui ont maintenant été corrigées. Plutôt, Clubhouse, comme de nombreuses entreprises à forte croissance, a lancé un programme de primes aux bogues avant d’avoir mis en place l’infrastructure ou l’expertise nécessaire pour le faire fonctionner.

    Ce n’est pas un problème rare, mais Moussouris dit que c’est un problème évitable. SC Media lui a parlé des primes de bogues dans les entreprises à forte croissance avec Clubhouse comme étude de cas.

    Les personnes intéressées par une description plus détaillée des vulnérabilités, ou par une vidéo avec votre chat aidant à les démontrer, peut obtenir cela sur votre blog. Mais pouvez-vous rattraper les gens?

    Katie Moussouris, Luta Security

    Katie Moussouris: J’ai rejoint l’application, juste avant de décider de faire du piratage. Il y avait des problèmes d’API, il y avait aussi un autre problème de routage audio via un fournisseur audio en Chine et il y avait un peu de fil d’Ariane de sécurité en cours. Ce que j’ai entendu par le biais d’autres utilisateurs de Clubhouse, c’est que l’une des choses qui était censée résoudre certains problèmes [the API] problèmes était la déconnexion des utilisateurs et leur reconnexion à l’application.

    J’ai pensé: «Cela semble étrange. Pourquoi ne pas forcer tout le monde à se déconnecter si c’est une véritable solution technique. Je me demande ce qui se passe d’autre. J’avais un iPhone de rechange, et avant de me déconnecter et de me reconnecter sur mon téléphone principal, j’ai décidé de simplement voir si cela vous déconnecterait immédiatement d’un appareil si vous enregistrez un deuxième téléphone, comme d’autres applications. [usually do]. Et [I thought], permettez-moi de me connecter sur un téléphone avec une nouvelle installation, car cela devrait être la dernière version de l’application.

    Je me suis connecté sur le deuxième téléphone et au lieu de me déconnecter complètement, le clubhouse m’a présenté l’écran de bienvenue alors que j’étais toujours connecté sur le premier téléphone. Il y avait donc clairement quelque chose qui n’allait pas. J’ai fait un tas d’expériences et j’ai compris que je pouvais rejoindre des pièces totalement nouvelles sur le deuxième téléphone et entendre le son sur les deux, donc j’étais définitivement dans les deux pièces. Et si j’avais des privilèges de haut-parleur dans cette première pièce, même lorsque je quittais cette pièce en utilisant le deuxième téléphone, j’étais toujours capable de parler, même si mon avatar avait disparu.

    C’est assez important pour une application qui fait promettre aux utilisateurs de ne rien enregistrer.

    Je sais qu’il y a beaucoup de salles où les défenseurs des droits de l’homme et les journalistes peuvent accéder à l’application et parler parce que les conditions de service des applications indiquent qu’il n’est pas acceptable d’enregistrer. Beaucoup de ces utilisateurs avaient un faux sentiment de sécurité.

    Mais lorsque vous avez essayé de signaler le problème, les choses ont commencé à mal tourner. Sur votre blog, en partie, vous attribuez cela aux problèmes rencontrés par de nombreuses entreprises à croissance rapide. Que s’est-il passé ici?

    Quand j’ai parlé aux gens de Clubhouse, ils ont dit qu’ils avaient investi dans la sécurité et avaient embauché des testeurs d’intrusion. Mais le fait qu’ils aient commencé une prime de bogue privée avant d’avoir rempli leur équipe d’ingénierie en interne – cela m’a dit qu’ils faisaient les choses dans le désordre.

    Même si leur prime de bogue est privée, il m’a fallu des semaines pour trouver le bon point de contact, car ils n’avaient pas de point de contact sur le site Web. Il n’y a presque rien là-bas; il y a peut-être un contact de support. Ce que j’ai fini par faire, comme n’importe quel chercheur, c’est Google “Comment signaler un problème de sécurité à Clubhouse”.

    L’adresse e-mail que j’ai reçue, à laquelle j’ai envoyé le premier rapport, appartenait en fait à une entreprise différente. C’était comme une société de gestion de projet qui s’appelle aussi Clubhouse. Et parce que je l’ai trouvé via la recherche Google, j’ai vu qu’ils avaient une politique de divulgation. Je me suis dit d’accord, je vais juste l’envoyer. Je veux dire, c’était un énorme faux pas. Pas de ma part, mais de la part de Clubhouse pour ne pas avoir suivi la norme ISO et avoir clairement expliqué comment signaler une faille de sécurité. Il n’y avait aucun moyen de les signaler en tant que membre général du public, et à cause de leur malheureuse collision de nom avec une autre entreprise, leur rapport de bogue s’est retrouvé dans la boîte de réception de quelqu’un d’autre. Je ne savais que le lendemain, quand cette société me revint.

    Donc, je n’ai pas eu le temps de creuser et de creuser pour trouver les bons contacts pendant encore plusieurs jours. Même alors, j’ai eu une réponse automatisée. Pour obtenir un humain, je devais souligner qu’ils avaient un délai de divulgation de 45 jours qui commençait le jour où j’ai essayé de leur faire rapport pour la première fois, lorsque j’ai fini par l’envoyer aux mauvaises personnes, car très franchement, c’est le véritable fenêtre d’exposition pour leurs clients. Je l’ai signalé dès que possible. Mais le retard dans la protection de leurs utilisateurs était entièrement sur eux en termes de ne pas avoir un moyen solide de contacter [the company]. C’est à ce moment-là que j’ai eu le premier humain à revenir et à m’excuser pour le retard. Nous sommes une petite entreprise, nous construisons toujours au sein de notre équipe.

    Comment pouvez-vous généraliser cela pour les start-ups à forte croissance qui se lancent dans la divulgation ou les primes?

    Au départ, en termes de création de logiciels, vous allez avoir des bugs. Certains de ces bogues seront des bogues de sécurité. Et avant même de penser à avoir un programme de primes de bogues, il doit y avoir un moyen clair pour que les gens vous contactent pour signaler une faille de sécurité au cas où ils en tomberaient sur une. Ce fut facilement quelques semaines, sinon plus, de retards dans la transmission du rapport de bogue aux quelques ingénieurs dont ils disposaient.

    Je sais que vous êtes une petite entreprise, je suis sensible au fait d’être une startup et d’essayer de construire. Mais vous êtes trop bien financé et trop populaire auprès des utilisateurs pour être vraiment dans la phase de refus des cinq étapes du deuil de réponse à la vulnérabilité.

    Les pirates vont prêter attention à la valorisation d’un milliard de dollars, pas au peu d’ingénieurs dont vous disposez pour résoudre les problèmes.

    C’est vrai, et ce qu’ils m’ont dit, c’est qu’il y avait encore moins de monde.

    Quand ils sont revenus vers moi, ils ont dit que c’était réglé, et je suis retourné pour essayer et tester. Ce qui était intéressant, c’est que vous pouviez toujours rejoindre une deuxième pièce et sembler toujours être dans plus d’une pièce. Ce qu’ils ont expliqué, c’est que c’était une question distincte; c’était un problème de latence du cache dans l’affichage du flux sur le client. Ils ont dit que vous êtes en fait déconnecté, mais que le flux met un peu de temps à se rattraper.

    Ensuite, nous avons travaillé à la coordination du blog.

    Y a-t-il d’autres problèmes dont il faut tirer des leçons?

    J’avais une question en suspens pour eux. Lorsqu’ils m’ont invité au programme privé de primes aux bogues, j’ai dit: «Eh bien, vous savez, moi et d’autres chercheurs sérieux refusons généralement l’exigence d’accord de non-divulgation.» Mais j’ai dit: «s’il est admissible à une prime en vertu des règles de votre programme, pouvez-vous s’il vous plaît en faire don à la fondation Équité salariale maintenant?»

    Avance rapide vers [when] Je leur ai montré mon blog; tJe voulais leur donner un gentil cri en disant qu’ils ont fait don de ma prime. Mais ils ne pouvaient pas me donner un montant. Ils ont dit que «notre plate-forme de bug bounty ne nous a pas encore répondu avec une prime recommandée.» Cela ne devrait pas prendre plus d’une heure à votre plateforme de bug bounty pour le comprendre.

    Ce que d’autres entreprises peuvent apprendre, c’est de ne pas penser qu’un programme de prime aux bogues, même sur l’une des principales plates-formes, résoudra la plupart des problèmes. Et, franchement, cela ne résoudra pas les problèmes de non-divulgation si vous avez quelque chose sur lequel vous êtes assis et qu’un chercheur est sérieux pour le réparer ou avertir le public. Il y a beaucoup de chercheurs exactement comme moi, sur lesquels les plates-formes de primes n’ont aucune influence sur nous. Et je pense que ce sont ces chercheurs que vous voulez travailler avec vous, car ce sont eux qui sont extrêmement expérimentés. Vous ne voulez pas les aliéner en les forçant à accéder à une plate-forme arbitraire qui présente clairement des problèmes de retard, étant donné qu’ils ne pouvaient pas trouver un montant de prime pour un problème qui a été résolu depuis un certain temps.

    Source

    Étiquettes :

    L'équipe de Comparaland

    L'équipe rédactionnnelle du site

    Pour contacter personnellement le taulier :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *