Журналисты Bleeping Computer обратили внимание на интересный случай, произошедший в рамках bug bounty программы Monero на HackerOne. Исследователь выдал обнаруженную другим человеком уязвимость и эксплоит для нее за свою работу и получил вознаграждение.

Издание отмечает, что охота за багами — это не просто  благое дело, приносящее пользу сообществу, но и многомиллионная индустрия. В итоге некоторые могут попытаться злоупотребить такими платформами, как HackerOne и Bugcrowd, предназначенными для развития этики, доверия и ответственности среди профессионалов в области информационной безопасности, ради собственной финансовой выгоды.

В прошлые выходные ИБ-специалист Гвидо Вранкен (Guido Vranken) обнаружил, что некий Эвертон Мело (Everton Melo) использовал копию созданного им эксплоита, чтобы сообщить об уязвимости в рамках bug bounty программы Monero на HackerOne. Уязвимость, которую Вранкен нашел в серии libzmq 4.1 еще в 2019 году, представляла собой критическую ошибку переполнения буфера (CVE-2019-6250). Исследователь уведомил о ней разработчиков в январе 2019 года.

«Lol кто-то дословно скопипастил мой эксплоит libzmq + анализ в [HackerOne] bug bounty и забрал деньги», — написал Вранкен в Twitter.

Хотя ранее инженеры HackerOne уже обнаруживали и закрывали отчеты с плагиатом, всегда остается возможность случайной ошибки сотрудника. В настоящее время разработчики Monero уже сообщили о том, что не могут вернуть уже выплаченную плагиатору сумму:

«NB: этот отчет был украден (!!) из оригинального отчета об уязвимости Гвидо Вранкена без каких-либо упоминаний его заслуг. Мы упустили тот факт, что отчет передран оттуда, так как сосредоточились на воспроизведении проблемы и ее устранении. Это невероятная подлость. Пожалуйста, не делайте так. Мы связались с Гвидо, чтобы выплатить ему вознаграждение, и к сожалению, не можем отозвать вознаграждение у Эвертона Мело».

Интересно, что при более внимательном рассмотрении отчета разработчики определили, что серия 4.1, судя по всему, не подвержена проблеме CVE-2019-6250, зато точно подвержена уязвимости CVE-2019-13132, и поэтому было принято решение, что Мело все же имеет право на вознаграждение. По этой же причине название отчета на HackerOne было изменено на CVE-2019-13132 вместо CVE-2019-6250.

2 комментария

  1. Аватар

    dicto

    20.10.2020 в 21:14

    Баг в программе поиска багов? Выходим на новый уровень! Кстати, а за нахождение этого бага вознаграждение положено?

  2. Аватар

    Lmar

    23.10.2020 в 12:26

    «так как сосредоточились на воспроизведении проблемы и ее устранении.»
    Если её уже раньше исправили чем они там занимались

Оставить мнение