2月,三位麻省理工大學網絡安全研究員稱,他們發現在線投票應用Voatz存在重大安全漏洞。Voatz提供了“漏洞賞金”,這筆獎金用于獎勵任何發現并報告其軟件安全漏洞的人士。Voatz希望借此鼓勵獨立“白帽黑客”來鞏固其服務的安全性。(注:白帽黑客指用自己的黑客技術來維護網絡關系公平正義的網絡安全研究人員,通過測試網絡和系統的性能來判定它們能夠承受入侵的強弱程度。)
但麻省理工大學團隊迅速發現,獎金的設置本身就存在漏洞。Voatz的漏洞賞金條款由Voatz制定,由漏洞報告平臺HackerOne管理。該條款稱,安全研究人員不能測試Voatz應用自身,而是必須使用應用的副本,但據稱該副本無法正常運行。麻省理工大學團隊成員邁克·斯佩克特稱,該條款會威脅到研究的有效性。此外,該獎金還不適用于報告某種類型的攻擊,安全研究人員稱這項限制并未反映真實世界的狀況。
盡管漏洞賞金在近些年來已成為公司網絡安全工具包中越發流行的一個組件,但其構建和管理方式為安全研究人員帶來了一系列問題。評論人士稱,這些項目,尤其是通過HackerOne與Bugcrowd這樣中間平臺運營的項目,通常會限制安全研究人員的研究范圍及分享成果的能力。他們稱,這些缺陷最終可能讓重要軟件更容易受到“黑帽黑客”,即惡意黑客的襲擊。
HackerOne前任高管凱蒂·毛蘇利斯曾幫助微軟創建了一個賞金項目,并在公共場合呼吁關注上述問題。在2月RSA安全會議的主旨演講中,持有HackerOne大量股票的毛蘇利斯表示,以其當前的形式來看,很多漏洞賞金項目都是膚淺的“安全作秀”,這意味著它們的主要目的是幫助美化公司形象,而不是讓軟件變得更安全。
漏洞賞金服務提供商的領導者并不贊同這一看法,在賞金項目方面設限,至少是暫時性的限制,是為了實現一個更宏大的目標:安全研究人員的理想信念是追求完全的透明,但處于資源和聲譽危機中的公司有自己的苦衷,兩者之間需要找到一個平衡點。
HackerOne首席技術官亞里克斯·萊斯說:“漏洞賞金項目在發現漏洞方面異常成功。讓公司與[外部]安全研究人員合作是最為重要的一步。”
“封口費”
有關Voatz漏洞賞金的爭議并非是個例。在近期涉及PayPal、流媒體平臺奈飛、無人機制造商大疆和視頻會議軟件Zoom的安全漏洞中,通過賞金項目報告漏洞的安全研究人員發現自己陷入了程序性或合約迷局,其中的一些簡直就是卡夫卡風格的再現。
特別值得一提的是,限制研究人員的保密條款通常來自于由HackerOne和 Bugcrowd運營的獎金項目。為了向一些公共獎金項目提交報告,研究人員必須同意限制公開討論其發現的協議。評論人士稱,通過限制公眾了解可能的安全漏洞,保密條款會讓單個公司受益,但卻限制了網絡安全更全面的進步。
評論人士指出,當安全性能研究員根據合約進行“滲透測試”時,保密條款是合理的。但如果將其用于公共報告,這些條款似乎破壞了一條廣為認可的實踐準則,也就是網絡安全研究人員所稱的“漏洞協同披露”準則。
協同披露理念的核心在于時限。如果某個漏洞得到了報告,但沒有在合理的時間框架內(通常30-90天)被修復,那么黑客公開披露這一漏洞的行為通常被認為是道德的。這一準則源于上個世紀90年代,當時,獨立安全研究員發現一些公司甚至不愿承認他們所報出的危險漏洞。公開發布漏洞將促使各大企業迅速修復其漏洞。
在漏洞得到修復后,對漏洞的公開討論有助于編程人員修復或預防其他領域的類似漏洞。正如網絡安全分析師凱倫?伊拉扎利所說的那樣,這種公開對話有助于讓白帽黑客成為“互聯網免疫系統”。安全公司Veracode對網絡安全專業人士的近期調查顯示,90%的受調對象認為公開披露漏洞是一項可以改善整體網絡安全的“公益事業”。
Veracode首席技術官、協同披露的先驅克里斯?威索帕爾擔心,漏洞賞金的出現正在影響安全研究員之間的知識共享。近期發生的案例便成為了這一擔憂的真實寫照。
例如,當約翰遜?雷斯楚去年發現視頻會議軟件Zoom的一個嚴重漏洞時,他想到了協同披露準則。最終,雷斯楚并未選擇Zoom通過Bugcrowd提供的漏洞賞金,因為保密條款會禁止他討論其發現。他說,這個漏洞能夠得以修復的唯一原因在于,他最終能夠公開發布這個漏洞。
雷斯楚表示:“[Zoom]的第一反應是,這并不是一個漏洞。在媒體對其施加壓力24小時之后,他們承認,好吧,這是一個漏洞。”雷斯楚如今認為,漏洞賞金中的保密條款相當于“研究人員的封口費”。Zoom拒絕對此事置評。
Bugcrowd聯合創始人兼首席技術官凱西?埃利斯稱,他的公司鼓勵其客戶放寬其披露條款,并敦促其客戶盡可能地減少限制。HackerOne的萊斯說,他對很多案例的披露表示支持,但現有的披露標準可能并非是它們所標榜的那么完美。他承認,在Zoom案例中,“披露有著明顯的益處”,但他還表示,公眾和媒體通常對披露存在誤解。
萊斯向《財富》透露:“我無法確定公開發布一系列未經驗證的安全漏洞能為用戶帶來什么好處。”
保密游戲
即便某個漏洞屬于“超出范圍之外”的漏洞(也就是一般來講不被看作是威脅,因此無需修復),漏洞賞金項目中的保密條款通常似乎依然有效。但什么才算是“有效”的漏洞這個根本問題則涉及毛蘇利斯最痛恨的一個現象。
例如,PayPal和 Netflix近期漏洞被評估漏洞賞金申報的員工判定為“超出范圍之外”。但賞金項目的條款(PayPal通過HackerOne發布,奈飛則通過Bugcrowd發布)均限制研究人員公開討論他們發現的漏洞。
發現的這兩個漏洞最終在未經許可的情況下公之于眾。盡管萊斯稱HackerOne允許研究人員通過索取許可來發布這類漏洞,但報告PayPal漏洞的研究人員并未獲得披露許可。
在奈飛的漏洞案例中,一位Bugcrowd員工警告研究人員違反了平臺的條款,因為研究人員在這些漏洞被判定為沒有資格獲得賞金后,于推特上發布了漏洞消息。Bugcrowd在一份聲明中表示,“重要的一點在于,只有在研究人員與客戶的項目所有者進行討論,并就披露時限達成一致意見之后,才能進行披露。”在研究人員違反披露限制的案例中,Bugcrowd會與“研究人員溝通,從公共論壇中刪除這一信息,來保護研究人員和客戶。”
然而,Voatz案例則生動地展現了根植于眾多漏洞賞金項目的不透明性所帶來的風險。由于Voatz被視為一個重要的選舉軟件,麻省理工大學團隊最終通過美國政府的網絡安全和基礎設施安全局通報了自己的發現,而不是通過HackerOne。
Voatz并不贊同該團隊的發現,并控訴研究人員的行為屬于背信棄義。Voatz首席執行官尼米特?蘇尼認為,麻省理工大學研究人員的動機在于“制作丑聞”,是一個“有組織的運動”的一部分,后者的“主要目的是阻止所有互聯網投票活動。”斯佩克特則贊同其團隊向媒體披露這一事件的行為,“因為在向公眾清晰、準確地傳播信息方面,媒體往往是最合適的機構。”
3月初,西弗吉尼亞州發現,麻省理工大學研究人員的主張有足夠的依據,因此州政府決定在5月的大選中使用另一個系統。在3月13日,一家獨立研究團體發表了第二篇報告,證實了麻省理工大學團隊的諸多主張,并發現了新的問題。Cyberscoop稱,該報告提到了通過Voatz的HackerOne賞金項目提交的重大漏洞,但被該選舉應用劃分為非重大漏洞。
然后在3月30日周一,HackerOne宣布把Voatz踢出平臺,這是公司第一次采取這一激進舉措。此舉明顯是針對Voatz對麻省理工大學研究人員響應的回應,包括一些后續調整,以取消禁止黑客測試其應用的法律保護傘。
Voatz首席執行官蘇尼將HackerOne的舉措定性為“共同決定”,但這家對漏洞進行懸賞的公司拒絕接受這一定性。“我們一直在孜孜不倦地培養安全團隊與研究人員團體之間互利互惠的關系。[Voat賞金項目]最終并沒有遵守我們的合作,而且對于任何一方來說都沒有什么成效。”
所有這一切頗具諷刺意味,如果麻省理工大學團隊并未繞過HackerOne的保密條款,也沒有將其發現報告給聯邦政府,那么Voatz應用的漏洞可能永遠都無法為人所知。
“每一次都亂得要命”
HackerOne和Bugcrowd都會從推銷賞金項目中獲得收益,同時還能減少客戶的麻煩。HackerOne自2012年成立以來已經籌集1.1億美元的風投資本,其服務的賞金項目客戶包括任天堂、星巴克和Slack。提供類似服務的Bugcrowd則籌集了略高于5000萬美元的資金,其客戶包括Fitbit,惠普和摩托羅拉。
但安全資深人士擔心,在大行其道的賞金項目之前,更為有效的軟件安全改善途徑會變得黯淡無光。
大衛?歐騰海默曾在MongoDB和EMC公司擔任安全高管職務,如今負責戴爾的安全業務。他認為賞金項目對于嚴重的網絡安全來說沒有必要,而且他稱自己在公司沒有經營賞金項目的情況下一直從獨立研究人員那里獲得高質量的漏洞報告。歐騰海默說:“要啟用最好的研究人員確實需要花錢,但他們的主要目的都是為了讓這個世界變得更加美好。”
Veracode開展的一項調查證實了這一觀點。在反饋的機構中,有47%稱自己設立了賞金項目,但平均來看,僅有19%的漏洞通報來自于這些項目。同時,在通報過漏洞的受調對象中,有57%稱自己希望能夠就報告與對方溝通,僅有18%希望對方付錢。
發現Voatz漏洞的麻省理工大學研究人員對這一觀點表示贊同。斯佩克特說:“我們感興趣的是,他們會對我們找到的漏洞作何反應。我們對錢完全不感興趣。”
Veracode的威索帕爾認為,賞金項目平臺所傳達的信息為人們帶來了困惑。他說:“他們崇尚的[理念]在于,在鞏固軟件安全性方面,眾包是最好、最高效的方式。但如果你算一算經濟賬,像谷歌和Facebook這樣的公司會將賞金項目看作是一種補充、后備或錦上添花的舉措。”
他說:“關鍵在于,讓那些訓練有素的開發員獲得打造安全軟件的正確工具。”
萊斯認為,HackerOne的使命就是宣傳賞金項目的益處,哪怕在透明度和披露這類原則性問題上做出些許讓步也無關緊要。
萊斯說:“對于一個機構和一個傳播團隊來說,[披露]工作量有多大,這一點我不能去夸大。每一次都亂得要命……有的客戶簽署了公眾監察協議,也有客戶不愿簽。”
但歐騰海默稱,這正是問題的結癥所在:各大公司希望賞金項目得到好評,但對項目本應具有的透明度視而不見。他說,“這是選擇性的失明。”
歐騰海默指出,賞金項目未能發現漏洞,但該漏洞卻直接成了新聞頭條,這可謂網絡安全史上最嚴重的災難。他說:“他們讓雅虎在預算中增加了200萬美元的賞金,但[當年晚些時候]有30億客戶的數據遭到了泄露。”
“新聞稱,‘看看他們的作用,花了200萬美元’,但對安全性一點幫助都沒有。”(財富中文網)
譯者:Feb
2月,三位麻省理工大學網絡安全研究員稱,他們發現在線投票應用Voatz存在重大安全漏洞。Voatz提供了“漏洞賞金”,這筆獎金用于獎勵任何發現并報告其軟件安全漏洞的人士。Voatz希望借此鼓勵獨立“白帽黑客”來鞏固其服務的安全性。(注:白帽黑客指用自己的黑客技術來維護網絡關系公平正義的網絡安全研究人員,通過測試網絡和系統的性能來判定它們能夠承受入侵的強弱程度。)
但麻省理工大學團隊迅速發現,獎金的設置本身就存在漏洞。Voatz的漏洞賞金條款由Voatz制定,由漏洞報告平臺HackerOne管理。該條款稱,安全研究人員不能測試Voatz應用自身,而是必須使用應用的副本,但據稱該副本無法正常運行。麻省理工大學團隊成員邁克·斯佩克特稱,該條款會威脅到研究的有效性。此外,該獎金還不適用于報告某種類型的攻擊,安全研究人員稱這項限制并未反映真實世界的狀況。
盡管漏洞賞金在近些年來已成為公司網絡安全工具包中越發流行的一個組件,但其構建和管理方式為安全研究人員帶來了一系列問題。評論人士稱,這些項目,尤其是通過HackerOne與Bugcrowd這樣中間平臺運營的項目,通常會限制安全研究人員的研究范圍及分享成果的能力。他們稱,這些缺陷最終可能讓重要軟件更容易受到“黑帽黑客”,即惡意黑客的襲擊。
HackerOne前任高管凱蒂·毛蘇利斯曾幫助微軟創建了一個賞金項目,并在公共場合呼吁關注上述問題。在2月RSA安全會議的主旨演講中,持有HackerOne大量股票的毛蘇利斯表示,以其當前的形式來看,很多漏洞賞金項目都是膚淺的“安全作秀”,這意味著它們的主要目的是幫助美化公司形象,而不是讓軟件變得更安全。
漏洞賞金服務提供商的領導者并不贊同這一看法,在賞金項目方面設限,至少是暫時性的限制,是為了實現一個更宏大的目標:安全研究人員的理想信念是追求完全的透明,但處于資源和聲譽危機中的公司有自己的苦衷,兩者之間需要找到一個平衡點。
HackerOne首席技術官亞里克斯·萊斯說:“漏洞賞金項目在發現漏洞方面異常成功。讓公司與[外部]安全研究人員合作是最為重要的一步。”
“封口費”
有關Voatz漏洞賞金的爭議并非是個例。在近期涉及PayPal、流媒體平臺奈飛、無人機制造商大疆和視頻會議軟件Zoom的安全漏洞中,通過賞金項目報告漏洞的安全研究人員發現自己陷入了程序性或合約迷局,其中的一些簡直就是卡夫卡風格的再現。
特別值得一提的是,限制研究人員的保密條款通常來自于由HackerOne和 Bugcrowd運營的獎金項目。為了向一些公共獎金項目提交報告,研究人員必須同意限制公開討論其發現的協議。評論人士稱,通過限制公眾了解可能的安全漏洞,保密條款會讓單個公司受益,但卻限制了網絡安全更全面的進步。
評論人士指出,當安全性能研究員根據合約進行“滲透測試”時,保密條款是合理的。但如果將其用于公共報告,這些條款似乎破壞了一條廣為認可的實踐準則,也就是網絡安全研究人員所稱的“漏洞協同披露”準則。
協同披露理念的核心在于時限。如果某個漏洞得到了報告,但沒有在合理的時間框架內(通常30-90天)被修復,那么黑客公開披露這一漏洞的行為通常被認為是道德的。這一準則源于上個世紀90年代,當時,獨立安全研究員發現一些公司甚至不愿承認他們所報出的危險漏洞。公開發布漏洞將促使各大企業迅速修復其漏洞。
在漏洞得到修復后,對漏洞的公開討論有助于編程人員修復或預防其他領域的類似漏洞。正如網絡安全分析師凱倫?伊拉扎利所說的那樣,這種公開對話有助于讓白帽黑客成為“互聯網免疫系統”。安全公司Veracode對網絡安全專業人士的近期調查顯示,90%的受調對象認為公開披露漏洞是一項可以改善整體網絡安全的“公益事業”。
Veracode首席技術官、協同披露的先驅克里斯?威索帕爾擔心,漏洞賞金的出現正在影響安全研究員之間的知識共享。近期發生的案例便成為了這一擔憂的真實寫照。
例如,當約翰遜?雷斯楚去年發現視頻會議軟件Zoom的一個嚴重漏洞時,他想到了協同披露準則。最終,雷斯楚并未選擇Zoom通過Bugcrowd提供的漏洞賞金,因為保密條款會禁止他討論其發現。他說,這個漏洞能夠得以修復的唯一原因在于,他最終能夠公開發布這個漏洞。
雷斯楚表示:“[Zoom]的第一反應是,這并不是一個漏洞。在媒體對其施加壓力24小時之后,他們承認,好吧,這是一個漏洞。”雷斯楚如今認為,漏洞賞金中的保密條款相當于“研究人員的封口費”。Zoom拒絕對此事置評。
Bugcrowd聯合創始人兼首席技術官凱西?埃利斯稱,他的公司鼓勵其客戶放寬其披露條款,并敦促其客戶盡可能地減少限制。HackerOne的萊斯說,他對很多案例的披露表示支持,但現有的披露標準可能并非是它們所標榜的那么完美。他承認,在Zoom案例中,“披露有著明顯的益處”,但他還表示,公眾和媒體通常對披露存在誤解。
萊斯向《財富》透露:“我無法確定公開發布一系列未經驗證的安全漏洞能為用戶帶來什么好處。”
保密游戲
即便某個漏洞屬于“超出范圍之外”的漏洞(也就是一般來講不被看作是威脅,因此無需修復),漏洞賞金項目中的保密條款通常似乎依然有效。但什么才算是“有效”的漏洞這個根本問題則涉及毛蘇利斯最痛恨的一個現象。
例如,PayPal和 Netflix近期漏洞被評估漏洞賞金申報的員工判定為“超出范圍之外”。但賞金項目的條款(PayPal通過HackerOne發布,奈飛則通過Bugcrowd發布)均限制研究人員公開討論他們發現的漏洞。
發現的這兩個漏洞最終在未經許可的情況下公之于眾。盡管萊斯稱HackerOne允許研究人員通過索取許可來發布這類漏洞,但報告PayPal漏洞的研究人員并未獲得披露許可。
在奈飛的漏洞案例中,一位Bugcrowd員工警告研究人員違反了平臺的條款,因為研究人員在這些漏洞被判定為沒有資格獲得賞金后,于推特上發布了漏洞消息。Bugcrowd在一份聲明中表示,“重要的一點在于,只有在研究人員與客戶的項目所有者進行討論,并就披露時限達成一致意見之后,才能進行披露。”在研究人員違反披露限制的案例中,Bugcrowd會與“研究人員溝通,從公共論壇中刪除這一信息,來保護研究人員和客戶。”
然而,Voatz案例則生動地展現了根植于眾多漏洞賞金項目的不透明性所帶來的風險。由于Voatz被視為一個重要的選舉軟件,麻省理工大學團隊最終通過美國政府的網絡安全和基礎設施安全局通報了自己的發現,而不是通過HackerOne。
Voatz并不贊同該團隊的發現,并控訴研究人員的行為屬于背信棄義。Voatz首席執行官尼米特?蘇尼認為,麻省理工大學研究人員的動機在于“制作丑聞”,是一個“有組織的運動”的一部分,后者的“主要目的是阻止所有互聯網投票活動。”斯佩克特則贊同其團隊向媒體披露這一事件的行為,“因為在向公眾清晰、準確地傳播信息方面,媒體往往是最合適的機構。”
3月初,西弗吉尼亞州發現,麻省理工大學研究人員的主張有足夠的依據,因此州政府決定在5月的大選中使用另一個系統。在3月13日,一家獨立研究團體發表了第二篇報告,證實了麻省理工大學團隊的諸多主張,并發現了新的問題。Cyberscoop稱,該報告提到了通過Voatz的HackerOne賞金項目提交的重大漏洞,但被該選舉應用劃分為非重大漏洞。
然后在3月30日周一,HackerOne宣布把Voatz踢出平臺,這是公司第一次采取這一激進舉措。此舉明顯是針對Voatz對麻省理工大學研究人員響應的回應,包括一些后續調整,以取消禁止黑客測試其應用的法律保護傘。
Voatz首席執行官蘇尼將HackerOne的舉措定性為“共同決定”,但這家對漏洞進行懸賞的公司拒絕接受這一定性。“我們一直在孜孜不倦地培養安全團隊與研究人員團體之間互利互惠的關系。[Voat賞金項目]最終并沒有遵守我們的合作,而且對于任何一方來說都沒有什么成效。”
所有這一切頗具諷刺意味,如果麻省理工大學團隊并未繞過HackerOne的保密條款,也沒有將其發現報告給聯邦政府,那么Voatz應用的漏洞可能永遠都無法為人所知。
“每一次都亂得要命”
HackerOne和Bugcrowd都會從推銷賞金項目中獲得收益,同時還能減少客戶的麻煩。HackerOne自2012年成立以來已經籌集1.1億美元的風投資本,其服務的賞金項目客戶包括任天堂、星巴克和Slack。提供類似服務的Bugcrowd則籌集了略高于5000萬美元的資金,其客戶包括Fitbit,惠普和摩托羅拉。
但安全資深人士擔心,在大行其道的賞金項目之前,更為有效的軟件安全改善途徑會變得黯淡無光。
大衛?歐騰海默曾在MongoDB和EMC公司擔任安全高管職務,如今負責戴爾的安全業務。他認為賞金項目對于嚴重的網絡安全來說沒有必要,而且他稱自己在公司沒有經營賞金項目的情況下一直從獨立研究人員那里獲得高質量的漏洞報告。歐騰海默說:“要啟用最好的研究人員確實需要花錢,但他們的主要目的都是為了讓這個世界變得更加美好。”
Veracode開展的一項調查證實了這一觀點。在反饋的機構中,有47%稱自己設立了賞金項目,但平均來看,僅有19%的漏洞通報來自于這些項目。同時,在通報過漏洞的受調對象中,有57%稱自己希望能夠就報告與對方溝通,僅有18%希望對方付錢。
發現Voatz漏洞的麻省理工大學研究人員對這一觀點表示贊同。斯佩克特說:“我們感興趣的是,他們會對我們找到的漏洞作何反應。我們對錢完全不感興趣。”
Veracode的威索帕爾認為,賞金項目平臺所傳達的信息為人們帶來了困惑。他說:“他們崇尚的[理念]在于,在鞏固軟件安全性方面,眾包是最好、最高效的方式。但如果你算一算經濟賬,像谷歌和Facebook這樣的公司會將賞金項目看作是一種補充、后備或錦上添花的舉措。”
他說:“關鍵在于,讓那些訓練有素的開發員獲得打造安全軟件的正確工具。”
萊斯認為,HackerOne的使命就是宣傳賞金項目的益處,哪怕在透明度和披露這類原則性問題上做出些許讓步也無關緊要。
萊斯說:“對于一個機構和一個傳播團隊來說,[披露]工作量有多大,這一點我不能去夸大。每一次都亂得要命……有的客戶簽署了公眾監察協議,也有客戶不愿簽。”
但歐騰海默稱,這正是問題的結癥所在:各大公司希望賞金項目得到好評,但對項目本應具有的透明度視而不見。他說,“這是選擇性的失明。”
歐騰海默指出,賞金項目未能發現漏洞,但該漏洞卻直接成了新聞頭條,這可謂網絡安全史上最嚴重的災難。他說:“他們讓雅虎在預算中增加了200萬美元的賞金,但[當年晚些時候]有30億客戶的數據遭到了泄露。”
“新聞稱,‘看看他們的作用,花了200萬美元’,但對安全性一點幫助都沒有。”(財富中文網)
譯者:Feb
In February, three MIT cybersecurity researchers reported that they had found major security flaws in the online voting application Voatz. Offering what’s known as a “bug bounty”—a payment for anyone who discovers and reports a security hole in software—Voatz sought to encourage independent “white hat” hackers to shore up the security of its service.
But the MIT team quickly found the reward was an even bigger problem than the bug. The terms of the Voatz bug bounty, set by the company and administered through the bug reporting platform HackerOne, said researchers couldn’t test Voatz’s app itself. Instead they’d have to use a copy of the app, which the researchers said didn’t work properly. According to MIT team member Michael Specter, that would have been a threat to the validity of the research. The bounty also didn’t allow for reporting of certain kinds of attacks, a restriction the researchers argued didn’t reflect real-world conditions.
While bug bounties have become an increasingly popular part of companies’ cybersecurity toolkit in recent years, researchers have run into an array of problems with the way they are structured and managed. Critics say the programs, particularly those run with intermediaries like HackerOne and Bugcrowd, often limit the scope of researchers’ work and their ability to share findings. These shortcomings, they say, could ultimately leave important software more vulnerable to “black hats,” or malicious hackers.
Katie Moussouris, a former HackerOne executive who has also helped Microsoft start a bounty program, has publicly called attention to these issues. In a keynote address at the RSA security conference in February, Moussouris, who holds significant stock in HackerOne, said that in their current form many bug bounty programs are superficial “security Botox,” meaning they're better for helping companies to look good than they are for actually securing software.
The leaders of bug bounty services counter that putting guardrails around bounty programs, at least temporarily, serves the larger goal of balancing white-hat ideals of total transparency with the needs of companies whose resources and reputations are on the line.
“Bug bounty programs are amazingly successful at identifying vulnerabilities,” says HackerOne CTO Alex Rice. "Getting companies working with [external] security researchers is the most important step.”
“Buying researchers’ silence”
The controversy surrounding the Voatz bug bounty isn’t an isolated case. In recent incidents involving PayPal, streaming platform Netflix, drone maker DJI, and videoconferencing software Zoom, security researchers reporting bugs through bounty programs found themselves tangled in procedural or contractual runarounds—some of them downright Kafkaesque.
In particular, researchers have been galled by nondisclosure clauses that are often part of bounties run through HackerOne and Bugcrowd. In order to submit a report to some public bounties, researchers must agree to restrictions on discussing their findings publicly. In limiting public knowledge about possible security vulnerabilities, nondisclosure clauses benefit individual companies, critics say, at the expense of broader advances in cybersecurity.
Nondisclosure clauses can be appropriate when security researchers are hired to conduct “penetration testing” under contract, critics grant. But when applied to incoming reports from the public, the clauses appear to undermine a widely accepted practice among cybersecurity researchers known as “coordinated vulnerability disclosure.”
A ticking clock sits at the core of the concept of coordinated disclosure. If a bug has been reported but not fixed within a reasonable time frame—generally, between 30 and 90 days—it is generally considered ethical for a hacker to disclose a bug publicly. That norm originated in the 1990s, when independent security researchers found some companies wouldn’t even acknowledge their reports of dangerous bugs. The threat of releasing a hacking method publicly encouraged businesses to fix their vulnerabilities quickly.
After a bug is patched, publicly discussing it can help programmers to fix or prevent similar vulnerabilities elsewhere. As cybersecurity analyst Keren Elazari has put it, this public dialogue helps make white-hat hackers “the Internet’s immune system.” A recent survey of cybersecurity professionals by the security firm Veracode found that 90% regard public disclosure of vulnerabilities as a “public good” that improves cybersecurity overall.
Chris Wysopal, Veracode’s CTO and one of the pioneers of coordinated disclosure, worries that the rise of bug bounties is weakening that knowledge sharing among security researchers. Recent cases illustrate exactly how that is happening.
For example, when Jonathan Leitschuh discovered a serious vulnerability in the videoconferencing software Zoom last year, he had coordinated-disclosure norms in mind. Ultimately, Leitschuh chose not to pursue a bug bounty Zoom offered through Bugcrowd, because nondisclosure terms would have prevented him from talking about his findings. The bug was fixed only because he was eventually able to go public, he says.
“[Zoom’s] first response was, This is not a vulnerability,” Leitschuh says. “After 24 hours of having the media holding their feet to the fire, they admitted, Okay, it’s a vulnerability.” Leitschuh now thinks that nondisclosure clauses in bug bounties are equivalent to “buying researchers’ silence.” Zoom declined to comment for this story.
Casey Ellis, cofounder and CTO of Bugcrowd, says his company encourages its customers to be generous in their disclosure terms and pushes clients to minimize restrictions. Rice at HackerOne says he also supports disclosure in many cases, but also that existing disclosure standards may not be all they’re cracked up to be. He admits that in the Zoom case, there were “clear benefits to disclosure,” but says that the public and the press often misinterpret disclosures.
“I’m not sure what benefit users get from publishing a bunch of unvalidated security vulnerabilities,” Rice tells Fortune.
The nondisclosure dance
The nondisclosure terms of bug bounty programs often appear to remain in force even if a bug is deemed “out of scope”—broadly, something that’s not considered a threat and therefore won’t be fixed. But the fundamental question of what constitutes a “valid” bug speaks to one of Moussouris’s biggest critiques.
For instance, recent vulnerabilities at PayPal and Netflix were deemed “out of scope” by workers who reviewed bug bounty submissions. But the terms of the bounty programs—PayPal’s through HackerOne, Netflix’s via Bugcrowd—nonetheless restricted the researchers from publicly discussing the exploits they found.
Both findings were ultimately published without permission. Though Rice says HackerOne allows researchers to request permission to publish in such cases, the researchers who reported the PayPal vulnerability did not receive clearance to disclose.
With Netflix’s vulnerability, a Bugcrowd worker warned the researcher that he had violated the platform’s terms by tweeting about his findings after they were deemed out of scope for the bounty. In a statement, Bugcrowd said in part that “it’s important that the disclosure comes only after a discussion between the researcher and customer’s program owners so that both parties reach a mutually agreeable disclosure timeline.” In cases in which a researcher violates disclosure restrictions, Bugcrowd “work(s) with the researcher to remove this information from public forums to protect the researcher and customer.”
The Voatz case, however, has become a dramatic example of the risks of the opacity built into many bug bounties. Because Voatz is considered critical election software, the MIT team ultimately was able to report their discoveries through the U.S. government’s Cybersecurity and Infrastructure Security Agency, instead of through HackerOne.
Voatz disputed their findings and accused the researchers of acting in “bad faith.” Voatz CEO Nimit Sawhney alleges that the MIT researchers were motivated by an “urge to make a scandal” as part of a “coordinated campaign” whose “main goal is to stop any and all Internet voting.” Specter defends his group’s turning to the media “because they would be best situated to clearly and accurately communicate information to the public at large.”
By early March, West Virginia found the MIT researchers’ claims credible enough that the state decided that it will use a different system for its May primary. On March 13, an independent research group released a second report confirming many of the MIT group’s claims and finding additional issues. According to reporting by Cyberscoop, the report included critical vulnerabilities that had been submitted through Voatz’s HackerOne bounty but were classified as noncritical by the election app.
Then on Monday, March 30, HackerOne announced that it was removing Voatz from the platform, the first time it has taken that drastic action. The move was apparently a response to Voatz’s response to the MIT researchers, including subsequent changes to strip legal protections from hackers testing its app.
Voatz CEO Sawhney characterized HackerOne’s move as a “mutual decision,” but the bug bounty company declined to confirm this characterization. “We work tirelessly to foster a mutually beneficial relationship between security teams and the researcher community,” HackerOne said in a statement to Fortune. “[The Voatz bounty program] ultimately did not adhere to our partnership standards and was no longer productive for either party.”
The irony of all this is that if the MIT group hadn’t skirted HackerOne’s nondisclosure terms and reported its findings to the federal government, the flaws in Voatz’s app may never have come to light at all.
“Chaos, every single time”
Both HackerOne and Bugcrowd have a financial interest in touting the benefits of bounties, while making things easy on their customers. HackerOne, which administers programs for the likes of Nintendo, Starbucks, and Slack, has raised $110 million in venture capital since its 2012 founding. Bugcrowd, a similar service, has raised just over $50 million, and its clients include Fitbit, HP, and Motorola.
But security veterans worry that the fashion for bug bounties, including among major firms, is eclipsing more effective approaches to software security.
Davi Ottenheimer has held executive security roles at MongoDB and EMC, now part of Dell. He considers bug bounties unnecessary to serious cybersecurity, and he says he has consistently gotten good-quality bug reports from independent researchers without running formal bounty programs. “The best researchers, sure, they’ll take some money,” Ottenheimer says. “But mostly what they want is a better world.”
A survey by Veracode confirms that. While 47% of responding organizations said they had a bug bounty program, on average only 19% of their bug reports came through those programs. And while 57% of respondents who had reported a bug said they expected communication about their report, only 18% expected payment.
The MIT researchers who uncovered the Voatz bugs echo that sentiment. “We were interested in figuring out how well they’d respond to the bugs we found,” says Specter. “We weren’t interested in the money at all.”
Veracode’s Wysopal feels messaging from bug bounty platforms has contributed to confusion. “They lead with [the idea that] the crowdsourced way is the best and most efficient way to secure your software,” he says. “But if you look at the economics of it, firms like Google and Facebook look at bug bounties as an add-on, a backstop, icing on the cake.
“The cake is, Let’s have trained developers with the right tools building secure software,” he adds.
Rice considers it HackerOne’s mission to advocate for the benefits of bug bounties, even if that means being flexible on ideals like transparency and disclosure.
“I cannot overstate how much work [disclosure] is for an organization and a communications team,” he says. "It’s chaos every single time...We have customers who sign up for the public scrutiny,” Rice adds, “and those who would rather not.”
But Ottenheimer says that’s exactly the problem: Companies want the good press that comes with bug bounties but without the transparency these programs should entail. “It’s about optics,” he says.
Ottenheimer points out that headline-generating bug bounties failed to prevent one of the biggest disasters in cybersecurity history. “They added a $2 million bounty to the Yahoo budget,” he says. “Yet 3 billion accounts were compromised [later that year].
“The news said, ‘Look how great they are—they spent $2 million.’ But that doesn’t map to safety at all.”