Le spécialiste de la chasse aux bugs HackerOne n’est pas lui-même à l’abri des failles. Ce site, qui accueille les programmes de bug bounty de grandes entreprises voulant sécuriser le code de leurs applications, vient lui-même d’attribuer 2 500 $ et 1000 $ de récompense à deux chercheurs pour avoir trouvé des vulnérabilités dans sa plateforme, rapporte le site Latesthackingnews.
La première, à laquelle un score de sévérité moyen a été attribué (4,4), concerne Hacktivity, le fil communautaire qui rend compte de l’activité sur HackerOne en fournissant les rapports sur les failles découvertes. Il apparaît que la recherche de certains mots sur Hacktivity pouvait exposer certaines informations privées ou cachées. Mais selon HackerOne, cela n’aurait affecté que certains rapports publiquement diffusés et le bug n’a pas été exploité. L’autre faille, jugée un peu moins sévère, avec un score de 3,4, porte aussi sur l’exposition d’information interne à des utilisateurs non autorisés. Les deux failles ont été été corrigées.
HackerOne a levé 36,4 M$ cet été, portant à 110 M$ le total des fonds qu’elle a déjà levés. La plateforme de chasse aux bugs compte 1 500 clients et depuis le début de l’année, six chercheurs en sécurité ont dépassé le million de dollars de récompenses reçues dans le cadre de programmes de bug bounty.
Commentaire