Todo lo que necesitas saber sobre tecnología

Tag: Hackerone Page 1 of 23

Hitilafu 8 zenye Athari za Juu na Jinsi Wateja wa HackerOne Walivyoepuka Ukiukaji: Ufichuaji wa Habari – Chanzo:www.hackerone.com

Hitilafu 8 zenye Athari za Juu na Jinsi Wateja wa HackerOne Walivyoepuka Ukiukaji: Ufichuaji wa Habari – Chanzo:www.hackerone.com

Chanzo: www.hackerone.com – Mwandishi: johnk. Mfululizo huu wa blogu unapunguza aina 8 za uwezekano wa kuathiriwa na athari za juu, pamoja na mifano ya jinsi HackerOne ilisaidia kuzuia ukiukaji unaohusishwa nazo. Hii ni mara ya pili katika mfululizo baada ya kuanza mambo kwa Kuongeza Upendeleo. Tulichagua aina hizi 8 za uwezekano wa kuathiriwa kulingana na mseto wa OWASP Top 10 pamoja na uchanganuzi wa hivi majuzi wa HackerOne wa Aina 10 Bora za Athari na Zilizotuzwa. Kisha tukashauriana na Hacktivity, saraka kubwa zaidi ya ripoti za athari zilizofichuliwa hadharani. Tumechukua mifano ya jinsi watafiti wetu mahiri wa usalama walivyosaidia wateja wa HackerOne kuepuka ukiukaji wa gharama kubwa unaohusishwa na kila aina ya athari. Athari za leo, Ufichuzi wa Habari, hutupatia fursa ya kuonyesha jinsi HackerOne “hufanya jaribio la kindani” la Fadhila yetu wenyewe ya umma na ufichuzi wa umma. Chaguomsingi kwa Ufichuzi ni, baada ya yote, mojawapo ya maadili matano ya kampuni ya HackerOne. Ufichuaji wa Taarifa Kulingana na Mitre, Ufichuzi wa Taarifa (au Mfichuo kama vile Miter huita katika CWE 200) uwezekano wa kuathiriwa hutokea wakati maelezo yanapofichuliwa kwa muigizaji ambaye hajaidhinishwa kwa uwazi kufikia maelezo hayo. Kuna aina mbili kuu: Wakati maelezo yaliyofichuliwa yanachukuliwa kuwa nyeti ndani ya utendakazi wa bidhaa yenyewe, kama vile ujumbe wa faragha Ikiwa ufichuzi utatoa taarifa kuhusu bidhaa au mazingira yake ambayo inaweza kuwa muhimu katika shambulio lakini kwa kawaida haipatikani kwa mshambulizi, kama vile njia ya usakinishaji ya bidhaa ambayo inapatikana kwa mbali. HackerOne iliorodhesha udhaifu huu katika nafasi ya tatu kwa jumla kwenye orodha yetu ya udhaifu kumi bora wenye athari na zawadi. Na kama takwimu iliyo hapa chini inavyoonyesha, kuenea kwa athari hii ni kubwa sana katika sekta ya Serikali ya Shirikisho, ambapo inawakilisha 27% ya jumla ya kiasi cha ripoti. Kama tutakavyoona katika mfano ufuatao kutoka kwa Hacktivity, @yashrs na @milindpurswani waliweza kuuliza data ya siri kwenye www.hackerone.com kupitia mwisho wa GraphQL. Jinsi HackerOne Iliepuka Ukiukaji wa Ufichuzi wa Habari Mnamo Januari 31, 2019, zaidi ya mwezi mmoja baada ya timu ya wahandisi ya HackerOne kusukuma kipengele kipya cha GraphQL katika uzalishaji, @yashrs iliripoti kuwa “Eneo la mwisho la GraphQL halina vidhibiti vya ufikiaji vinavyotekelezwa ipasavyo.” Ripoti inaendelea “mshambulizi yeyote anaweza kupata taarifa zinazomtambulisha mtu binafsi za watumiaji wa Hackerone kama vile anwani ya barua pepe, misimbo ya chelezo ya hashi, facebook_user_id, account_recovery_phone_number_verified_at, totp_enabled, n.k.” Shukrani kwa ripoti hiyo nzuri na ya wakati unaofaa, HackerOne iliweza kutekeleza marekebisho ya muda mfupi tarehe 31 Januari 2019 saa 9:46 PM, saa 2 pekee baada ya athari hii kutolewa tena. Utafiti wa timu ya wahandisi ulibaini kuwa athari hiyo haikuwa imetumiwa na wahalifu wowote na hakuna taarifa nyeti iliyokiukwa. Athari Zinazowezekana za Biashara Timu ya HackerOne iliamua kuwa taarifa nyeti za vitu vingi zilifichuliwa na athari hii. Ratiba ya GraphQL huwezesha mtu yeyote kuuliza maswali kwenye jukwaa. Huu ni uamuzi wa makusudi wa kubuni. Hata hivyo, kwa sababu kila kitu cha Mtumiaji kingeweza kufikiwa, kiasi kikubwa cha taarifa za siri kilipatikana. Ilibainika zaidi kuwa data fulani ya Timu haikufikiwa kwa njia ifaayo kupitia usanidi huu usiofaa. Iliwezekana kupata maelezo ya majaribio ya ndani na sera ya idadi iliyochaguliwa ya programu za kibinafsi ambazo mtumiaji hakuwa na ufikiaji. Waandishi wa habari waliuliza taarifa za programu kwa sehemu, lakini hawakupata taarifa yoyote nyeti iliyohitaji HackerOne kufikia wateja wowote. Kutokana na athari inayoweza kutokea, ripoti hii iliainishwa kuwa muhimu na kulipwa zawadi ya $20,000. Naval ROTC Scholarship Hopeful Husaidia Idara ya Ulinzi ya Marekani Kuepuka Ukiukaji wa Ufichuzi wa Taarifa Mdukuzi Aaron Esau, anayetumia jina maarufu @arinerron2, na washiriki wengine wawili wa timu, aliripoti hitilafu ya Ufichuzi wa Taarifa Muhimu kupitia VDP ya DoD ya HackerOne Response mnamo Agosti 19, 2019. Kama Aaron anaelezea katika uandishi wake bora wa blogi, amekuwa akichunguza programu ya DoD kwenye HackerOne kwa sehemu kwa sababu anakusudia kutuma ombi la ufadhili wa masomo ya Naval ROTC atakapoendelea na chuo mwaka wa 2020. Aaron alifanya upelelezi kwa kufanya uchunguzi usioidhinishwa wa njia ya wavuti kwenye saraka ndogo /nrotc alipogundua ukurasa unaoitwa Trace.axd ambao ulirudisha msimbo wa hali ya HTTP 302 na kuelekezwa tena ukurasa wa kuingia. Kwa kuchimba zaidi kidogo, Aaron aligundua kuwa kupitia ukurasa huu aliweza kupata nambari za usalama wa kijamii, majina ya watumiaji, anwani za barua pepe, manenosiri ya maandishi, ishara za kikao, tokeni za CSRF, na bila shaka, maelezo mahususi ya programu (km taarifa kuhusu programu na mfumo wa faili), na vichwa vya trafiki ya HTTP. DoD inamshukuru Aaron Hadharani Baada ya kuchapisha hitilafu, na kuiweka alama muhimu, kuirekebisha, na kufichua ripoti, DoD ilichukua hatua ya ziada ya kumshukuru Aaron kwenye twitter kwa matokeo mazuri na kuripoti: Inayofuata katika safu yetu ya athari 8 za athari kubwa itaonekana. kwenye Sindano ya SQL na jinsi kahawa uipendayo ina ladha bora zaidi bila moja—kwa hivyo endelea kufuatilia! Url ya Chapisho Asilia: https://www.hackerone.com/security-compliance/8-high-impact-bugs-and-how-hackerone-customers-avoided-breach-information

Uwazi Hujenga Uaminifu – Chanzo:www.hackerone.com

Uwazi Hujenga Uaminifu – Chanzo:www.hackerone.com

Chanzo: www.hackerone.com – Mwandishi: Jobert Abma. Mtu fulani aliiita “uvunjaji,” na ulimwengu ukazingatia. Hii hapa hadithi. Hakuna uaminifu bila uwazi. Kwetu sisi katika HackerOne, ni thamani ya kampuni tunayoishi kila siku. Udhaifu wowote halali unaoripotiwa kwa mpango wa fadhila wa hitilafu wa HackerOne hufichuliwa hadharani kila mara baada ya kuthibitishwa na kutatuliwa. Kampuni chache leo huchagua kutoa kiwango sawa cha uwazi. Inaweza kuonekana kuwa ngumu kuchapisha mambo yanapoenda kombo. Kufichua udhaifu uliotatuliwa kunaweza kukaribisha uchunguzi na aibu. Changamoto za usalama ambazo mashirika yanakabiliana nazo leo ni za kawaida, na kwa kushiriki habari hizi sisi kwa sisi, tunafanya mtandao kuwa mahali salama zaidi. Tarehe 24 Novemba 2019, alipokuwa akiripoti uwezekano wa kuathiriwa na HackerOne, mdukuzi alipata kwa muda mfupi maelezo yanayohusiana na programu nyingine zinazoendeshwa kwenye Mfumo wa HackerOne. Mapema wiki hii, HackerOne ilifichua hadharani ripoti hii ya athari. Ripoti hii ilikuja kupitia programu yetu ya fadhila ya hitilafu. Ilielezea kwa undani athari za kiusalama zinazoathiri HackerOne na chini ya 5% ya programu zetu za wateja. Hakuna uharibifu ulifanyika. Ripoti hii ya athari haikuwa ukiukaji. Hakukuwa na nia mbaya, hakuna ufikiaji usioidhinishwa, na hakuna data iliyobadilishwa au kukatizwa. Huu ulikuwa mpango wa fadhila wa hitilafu unaotekelezwa. Dakika nane baada ya udhaifu huo kuanzishwa, mdukuzi aliripoti. Timu ya ndani ilifuata itifaki ya kawaida ya kuchunguza suala hilo na kutekeleza marekebisho ya papo hapo na ya muda mrefu ndani ya saa chache. Mtu huyo si mgeni kwa HackerOne; wao ni mmoja wa wanahabari wakuu kwenye programu yetu ya fadhila ya hitilafu. Tangu 2016, wameripoti zaidi ya udhaifu halali mia moja. Tunashukuru michango yao inayoendelea kwa usalama wa HackerOne. Jumuiya ya kweli inawezekana tu kwa uwazi Jumuiya ya usalama ina jukumu la kujenga na kudumisha uaminifu. Tukikubali kwamba programu zote zina hitilafu, lazima pia tutambue njia pekee ya kuboresha ni kushiriki maarifa. Vitisho kwa utamaduni unaoibuka wa ufichuzi pia vinatishia tasnia kwa ujumla. Masuala ya usalama yatakuwepo kila wakati. Kwa kukataa kutoa ufumbuzi, tunalenga kusaidia kuweka kiwango kipya cha jinsi ya kujibu. Wateja wetu wengi hutetea mazoea sawa ya kufichua udhaifu wao uliotatuliwa. Takriban udhaifu 8,000 umefichuliwa hadharani kwenye Hacktivity hadi sasa, ikiwezesha kila mtu kujifunza kutoka kwa mwenzake na kukua. HackerOne iliundwa tangu mwanzo na usalama kama kipaumbele chetu cha juu, ikijifunza kutoka kwa kila ripoti iliyofichuliwa. Tangu 2013, HackerOne ni salama zaidi ya 350+ kutokana na wavamizi walioiripoti. Kando na mpango wetu unaoendelea wa zawadi za hitilafu, tunaendesha ukaguzi mwingi wa wahusika wengine kila mwaka kama sehemu ya mkakati wetu wa ulinzi wa kina wa usalama. Hata hivyo, tunajua udhaifu utakuwepo kila wakati, na mpango wetu wa zawadi za hitilafu una jukumu muhimu katika kutambua udhaifu huu. Usalama ni safari, sio marudio, na tuko salama zaidi na wadukuzi upande wetu. Kuna njia moja tu ya kufanya usalama: Pamoja Katika siku za mwanzo za kujenga HackerOne, tulikuwa na msemo: “Iache bora kuliko ulivyoipata.” Tulitumai kuwa jukwaa tulilokuwa tukiunda lingeleta athari ndogo kwa ulimwengu kupitia usalama ulioimarishwa na ufichuzi ulioratibiwa. Timu nyingi za usalama zinakabiliwa na changamoto sawa, na haiwezekani kwa timu moja kuwa na majibu kwa kila kitu. Kwa kuunganisha ujuzi wetu, sote tunaweza kusaidiana kujifunza kutokana na uzoefu wetu na kuboresha afya ya jumla ya mtandao. Tunaweza kuacha mtandao bora kuliko tulivyoipata. Tunatazamia ulimwengu ambapo kupuuza ripoti za hatari kutoka kwa wavamizi kunatazamwa kama uzembe, usalama ni ushirikiano, na uwazi huzaa uaminifu. Ufichuzi wa umma ni sehemu muhimu ya kujenga mtandao salama. Usalama ni safari, sio marudio. Kwa ripoti hii ya athari, na urekebishaji ambao ulitekelezwa mara moja, mtandao ni salama zaidi. Na sisi sote tuko salama zaidi na wadukuzi upande wetu. Url ya Chapisho la Jobert Abma: https://www.hackerone.com/vulnerability-management/transparency-builds-trust

Kutumia Madimbwi ya Vipaji vya Fadhila ya Mdudu Kuvutia na Kudumisha Talanta Bora – Chanzo:www.hackerone.com

Kutumia Madimbwi ya Vipaji vya Fadhila ya Mdudu Kuvutia na Kudumisha Talanta Bora – Chanzo:www.hackerone.com

Chanzo: www.hackerone.com – Mwandishi: johnk. Viongozi wa usalama leo wanakabiliwa na changamoto nyingi za talanta—kutoka kwa mafunzo kuhusu vienezaji vya hivi punde vya uvamizi, kutafuta vipaji vilivyo na ujuzi ufaao, hadi kuzuia uchovu. HackerOne inaonyesha kujitolea kwake kwa jumuiya ya usalama kwa kusaidia kila moja ya changamoto hizi za vipaji. Kwa upande wa mafunzo, HackerOne Hacktivity ndiyo saraka kubwa zaidi ya ripoti za athari zilizofichuliwa, inayotumika kama nyenzo ya kisasa ya kujifunza kwa wataalamu wa usalama. HackerOne pia hudumisha mkusanyiko wa programu huria wa Hacker101 wa video, nyenzo na shughuli ili kuwapa wataalamu wa usalama ujuzi wa kutambua udhaifu wa programu. Kama sehemu ya shughuli za Hacker101, Capture The Flag (CTF) huruhusu washiriki kufanya mazoezi ya ujuzi wao katika changamoto za ulimwengu halisi. Ili kushughulikia utafutaji wa vipaji, wateja wengi wa HackerOne huajiri wadukuzi kutoka kwa mpango wao wa fadhila. Katika programu ya fadhila ya kibinafsi, au tukio la udukuzi wa moja kwa moja, unabainisha idadi ya wavamizi unaotaka na ujuzi wanaohitaji kuleta kwenye meza. Kwa kufanya kazi kwa karibu na wavamizi, timu yako ya usalama inaweza kutathmini ujuzi wao wa usalama na pia mawasiliano yao na mtindo wa jumla wa kazi. Katika mkutano wetu wa hivi majuzi wa Security@, jopo la wahandisi watatu wa usalama ambao pia waliingilia kati walisema kuwa mafunzo na uajiri mara nyingi huenda pamoja. Udanganyifu na grisi nyingi za viwiko vilisaidia mwanajopo Peter Yaworski kubadilika kwa ufanisi kutoka jukumu la serikali hadi kazi inayotamaniwa kama Mhandisi wa Usalama wa Maombi katika Shopify. Kwa sababu Shopify inafichua ripoti zake kuhusu Hacktivity, Peter aliweza kujifunza mifumo na programu zao, na hii ilimpa mwaliko wa tukio la H1-415 la udukuzi wa moja kwa moja huko San Francisco. “Hapa kulikuwa na maktaba hii yote ya ripoti za Shopify zilizofichuliwa ambazo ningeweza kujifunza kutoka. Ilikuwa hatua ya badiliko la kweli.” Mnamo 2017, Shopify iliajiri Peter. Alipoulizwa na msimamizi wa jopo Chloe Messdaghi nini kilimvutia kwenye jukumu lake katika Dropbox, Nathaniel Lattimer alitaja werevu wa wenzake. Mtu mmoja kwenye timu yake ni mwanachama wa PPP, mojawapo ya timu za CTF za daraja la juu. “Nilitaka kupata fursa ya kuwa katika mazingira haya na kujifunza kutoka kwa watu hawa. Na imekuwa jambo la kustaajabisha kujifunza upande wa ufundi na vile vile ustadi laini zaidi ambao sikugundua nilihitaji kukuza. Wanajopo watatu—Tanner Emek kutoka OneLogin, Nathaniel Lattimer na Dropbox, na Peter Yaworski katika Shopify—walisema inachukua kazi na nidhamu ili kuepuka uchovu. Tanner, kwa mfano, anahakikisha kuwa udukuzi hauingiliani na kazi yake au maisha yake ya kibinafsi kwa kuikaribia kama burudani. Kwa mfano, hii inamaanisha kutoambatanisha malengo na utapeli wake. “Nikishaweka malengo, inahisi kama kazi, na ninataka kuendelea kuvinjari kwa furaha.” Njia nyingine iliyothibitishwa ya kupunguza mfadhaiko ni kugusa ujuzi wa usalama unapohitaji katika jumuiya ya HackerOne. HackerOne inafanya kazi bila kuchoka kukuza jumuiya yetu, ambayo sasa ina zaidi ya wavamizi 600,000 ambao wana kila ujuzi unaowezekana. Kuifanya jumuiya hii ifanye kazi huimarisha mkao wa usalama wa shirika lako, hufungua timu za ndani ili kuzingatia michakato ya msingi, huondoa mfadhaiko na kupunguza uchovu. Mwanzilishi wa Nextcloud Frank Karlitschek aliiweka hivi, “Kwa hakika hatuwezi kuajiri wahandisi wa kutosha ili kulinda dhidi ya kila hatari inayowezekana, lakini tunaweza kutumia programu yetu ya fadhila ya hitilafu ili kuongeza utaalam tunapohitaji pale tunapouhitaji na huduma inayoendelea karibu kila mahali pengine. ” Unaweza kuangalia hadithi ya mteja wa Nextcloud hapa. Udukuzi != Uhandisi wa Usalama Wanajopo wote watatu wanaonya kwamba, ingawa zinafanana, uhandisi wa usalama na udukuzi hazifanani. Peter anahimiza kampuni kutuma waajiri kuishi matukio ya udukuzi na kuajiri wadukuzi, ingawa anasema “sio risasi ya fedha.” Wadukuzi huleta uelewa wa kina wa aina tofauti za athari na athari zake. Mara tu alipoanza kufanya kazi kama mhandisi wa usalama, Peter anakubali kwamba ilimbidi kukuza ujuzi mpya kama vile jinsi ya kufanya kazi kwa ushirikiano na timu ya maendeleo. Mambo mengine ambayo huenda usiweze kujifunza kupitia udukuzi, na ambayo ni muhimu ili kuwa mhandisi bora wa usalama, ni pamoja na kusaidia kurekebisha na kuifungua, kufanya uchanganuzi wa sababu kuu, na kuhakikisha kuwa haifanyiki tena. Nathaniel anawahimiza viongozi kutazama jumuiya ya wadukuzi kama chanzo kikuu cha talanta ghafi ya usalama. “Jumuiya ya wadukuzi ni kundi la vipaji vya ajabu na ujuzi dhabiti wa usalama, na ni muhimu kutambua kwamba wavamizi wanaweza kuhitaji kujifunza ujuzi wa ziada ili kuwa na ufanisi iwezekanavyo kama mhandisi wa usalama. Kwa mfano, wadukuzi mara nyingi huzuia mawazo yao kuhusu kurekebisha hitilafu iliyo mbele yao, na kwa hivyo kuna fursa ya kupata mtazamo mpana zaidi kuhusu kurekebisha mende kwa ukamilifu zaidi, na hata kubuni programu zinazowazuia kutokea. Kwa Tanner, mtazamo wa udukuzi hutafsiri vyema jukumu lake kama mhandisi wa usalama. “Katika hafla za udukuzi wa moja kwa moja, mratibu huwaalika wadukuzi wengine bora kuelezea ripoti zao, na hii ni njia nzuri ya kujifunza. Sote tunaangalia malengo sawa, na kwa hivyo nilipata fursa sawa ya kupata mdudu, na unajifunza mbinu hizi za ubunifu ambazo unaweza kutumia kwenye kazi. Msisitizo wa wadukuzi kwenye athari huwafanya waajiriwe pia wa usalama. “Ili kulipwa, lazima uweze kuunda POC na kuonyesha athari,” anasema Tanner. “Mtazamo huu wa kukera ni jambo ambalo huwa haupati kila wakati na watu ambao wamekuwa kwenye upande wa kujilinda au wa kurekebisha.” Hakikisha umeangalia video kamili ya Security@ kwa maarifa zaidi kuhusu jinsi OneLogin, Dropbox, na Shopify zinavyosaidia wahandisi wao wa usalama wanaodukua na kurudisha nyuma jumuiya ya wadukuzi. Url ya Chapisho Asilia: https://www.hackerone.com/vulnerability-management/using-bug-bounty-talent-pools-attract-and-maintain-top-talent

Msimu Huu, Toa Zawadi ya Maarifa Yanayoendeshwa na Data – Chanzo:www.hackerone.com

Msimu Huu, Toa Zawadi ya Maarifa Yanayoendeshwa na Data – Chanzo:www.hackerone.com

Chanzo: www.hackerone.com – Mwandishi: johnk. Ni wakati huo wa mwaka tena. Ni wakati wa kuchimba fulana yako iliyokunjamana ya “Hapana, siwezi kurekebisha kompyuta yako” kutoka chini ya droo. Unaweza kuepuka udadisi wa Mjomba John kuhusu programu bora zaidi ya kingavirusi isiyolipishwa – lakini huwezi kuepuka ongezeko la sikukuu katika ripoti za uwezekano wa kuathirika. Kuendesha jukwaa kubwa zaidi la usalama linaloendeshwa na wadukuzi kwa sehemu bora ya miaka kumi, na zaidi ya udhaifu 120,000, kuna faida zake. Maarufu kati yao ni … data! Na ni nani kati yetu ambaye hapendi hadithi ndogo ya data ya usalama wa likizo? Kwa hivyo, chukua blanketi lako uipendalo la Star Wars, tafuta mahali pazuri karibu na (Washa) moto, na uturuhusu kufunua zawadi chache za maarifa yanayotokana na data mapema kidogo mwaka huu, sivyo? Katika misimu miwili ya likizo iliyopita, HackerOne inazingatia mienendo ifuatayo ya usalama: Ongezeko la ripoti za jumla za uwezekano wa kuathirika katika wiki mbili baada ya Kutoa Shukrani Wakati wa Wiki ya Shukrani, wateja katika mtandao na sekta ya huduma za mtandaoni waliona ripoti nyingi zaidi. kuongezeka kwa aina za udhaifu wa Cross-site Scripting (XSS) katika wiki baada ya Shukrani. Maoni haya yote matatu yanaeleweka mtu anapozingatia mwelekeo mkubwa wa ununuzi wa mtandaoni, ambao watu wazuri wanaufahamu. Deloitte wanafuatilia vyema katika Utafiti wao wa Mwaka wa Rejareja wa Likizo Kama chati ifuatayo inavyoonyesha, katika makundi yote ya umri, kampuni ya ushauri inatarajia ununuzi wa mtandaoni kufikia 59% ya jumla ya mwaka huu, na Milenia watafanya maduka makubwa na kuharibu 64% ya ununuzi wao mtandaoni. Cross-Site Scripting (XSS) kwa hakika imeongoza uchanganuzi wa hivi majuzi wa HackerOne wa Aina 10 za Athari Zaidi na Zilizotuzwa. Katika tasnia zote, wateja wa HackerOne walilipa asilimia 27.9 ya faida zote kwa ripoti za XSS. Kama kondoo weusi wa familia, XSS inakupata wakati wa likizo. Wavamizi wanaweza kutumia XSS kutuma hati hasidi kwa mtumiaji asiyetarajia. Kivinjari cha mtumiaji wa mwisho hakina njia ya kujua kwamba hati haipaswi kuaminiwa, na itatekeleza hati. Kwa sababu inafikiri kuwa hati ilitoka kwa chanzo kinachoaminika, hati hasidi inaweza kufikia vidakuzi vyovyote, tokeni za kipindi, au maelezo mengine nyeti yanayohifadhiwa na kivinjari na kutumiwa na tovuti hiyo. Hati hizi zinaweza hata kuandika upya maudhui ya ukurasa wa HTML. Kwa bahati nzuri, jumuiya ya kimataifa ya wavamizi marafiki wa HackerOne ni mahiri katika kutafuta uwezekano wa kuathirika. Kwa mfano, mnamo Machi mwaka huu, mdukuzi alionyesha uwezekano wa kuathirika kwenye tovuti inayoongoza ya huduma za malipo. Mdukuzi alionyesha timu ya usalama ya kampuni hiyo uwezo wa kutumia uingizwaji wa ombi kubadilisha ombi la ukurasa kuwa uelekezaji upya uliohifadhiwa. Ikiwa uelekezaji upya ulioakibishwa ungefikiwa na mtumiaji halali, maudhui ya mshambulizi yangetolewa badala ya ukurasa ulioombwa. Ingawa hii haitaathiri data yoyote ya nyuma, hii inaweza kutatiza uadilifu wa kurasa fulani, ikijumuisha uwezekano wa kuingilia ukurasa wa kuingia. Shukrani kwa werevu wa mdukuzi, hitilafu hii ilipatikana na kurekebishwa kabla ya wanunuzi wowote kudhurika. Kwa nini usifanye mojawapo ya Maazimio yako ya Mwaka Mpya ili kuweka mpango wa Fadhila wa HackerOne mahali pake? Kisha, likizo itakapoanza mwaka ujao, utakuwa na urejesho mpya kwa ombi la binamu Pete la usaidizi wa kompyuta — “Je, ulinunua mtandaoni mwaka huu? Naam, nilifanya hilo kuwa salama zaidi kwako.” Url ya Chapisho asili: https://www.hackerone.com/company-news/season-give-gift-data-driven-insight

Slack Huongeza Kiwango cha Chini cha Fadhila Kwa Siku 90 Zijazo – Chanzo:www.hackerone.com

Slack Huongeza Kiwango cha Chini cha Fadhila Kwa Siku 90 Zijazo – Chanzo:www.hackerone.com

Chapisho hili la blogu lilichangiwa na Meneja wa Mpango wa Kiufundi wa Slack Staff Branden Jordan. Kwa kuzingatia mafanikio ya ofa ya awali ya Slack na kuendelea kuzingatia usalama nyakati hizi, Slack na HackerOne wanashirikiana pamoja ili kuwashirikisha watafiti wakuu kutoka jumuiya ya HackerOne. Kuanzia Mei 1 hadi Julai 31, 2020, Slack atakuwa akiongeza marupurupu yake ya chini kwa matokeo ya Juu na Muhimu hadi $2,500 na $5,000 mtawalia. Asante kwa watafiti wote ambao wamechangia hadi sasa na tunatarajia kukutana nanyi zaidi! Ili kupata maelezo zaidi kuhusu mpango wa fadhila wa hitilafu wa Slack na kuripoti uwezekano wa kuathiriwa, tafadhali tembelea ukurasa wetu wa programu katika https://hackerone.com/slack.

Hackweek: Mtazamo wa ndani katika utamaduni wa HackerOne – Chanzo:www.hackerone.com

Hackweek: Mtazamo wa ndani katika utamaduni wa HackerOne – Chanzo:www.hackerone.com

Chanzo: www.hackerone.com – Mwandishi: Rana Robillard. Sasa nina mwezi mmoja katika jukumu langu kama Afisa Mkuu wa Watu katika HackerOne na najua nilifanya uamuzi sahihi kuwa hapa. Bila shaka, huu pia umekuwa mwezi kwa vitabu vya historia tunapopitia janga la COVID-19 kama kampuni na kama watu binafsi. Licha ya wakati huu usio wa kawaida, nimevutiwa na jinsi maadili na tamaduni zinavyopachikwa hapa kwenye H1. Hii inaweza kuonekana katika kipindi cha kila wiki cha “Niulize Chochote” ambapo ngazi zote za kampuni hufanya mazungumzo ya umeme. Tunafichua kwa chaguomsingi katika kutoa masasisho na kujibu maswali kwa uwazi, uhalisi na kwa uwazi. Na maadili yetu yanaonyeshwa kwa njia zingine nyingi pia. Nikiwa na macho bado mapya na msisimko wa mgeni, nilitaka kushiriki moja ya mambo muhimu kutoka siku zangu 30 za kwanza: Hackweek! Huenda unashangaa jinsi inavyokuwa kufanya kazi hapa H1 au kutaka kujua kuhusu watu na utamaduni wetu. Mfano huu unaweza kutoa mwanga. Kwanza, kwa muktadha mdogo, fikiria “Tangi la Shark.” Sasa katika mwaka wake wa nne, kile kilichoanza kama “Siku ya Hack” mnamo 2017 imekua na kuwa “Hackweek” nzima yenye ushindani mkali, kupiga kura, swag, na tuzo zinazotamaniwa kushinda kama timu. Kusudi la Hackweek ni kuwa na vikundi tofauti vya watu kukusanyika kutoka kwa kampuni nzima na kufanya kitu kiwe na athari (lakini sio kile ambacho ungetarajia!). Hackeronies zetu hutenda kama wamiliki, kuvumbua na kuchukua hatari kila wakati – hata hivyo, mpango huu huwapa watu wetu wakati maalum, maalum wa kuchunguza na kuchimba katika kitu ambacho wamekuwa wakiota kukihusu. Hiyo inaweza kuwa nini tu? Miradi ya awali imesababisha udukuzi wa ajabu ili kukuza biashara yetu, kuunda bidhaa mpya, na kuwahudumia wateja wetu vyema. Mifano michache mizuri ni Beji na Ubao wa Viongozi wa Tukio la Udukuzi wa Moja kwa Moja. Mwaka huu pia haukuwa tofauti kwani baadhi ya vipengele vipya vya ajabu vya bidhaa sasa vinaendelea (samahani, sina budi kuficha hizo). Lakini kutokana na COVID-19 na WFH, tuliazimia kuweka mambo haya kipaumbele na kuona mawazo fulani ya kufurahisha, yasiyotarajiwa na ya ubunifu ambayo yalidukua hali hii ya kipekee. Tulihamia kuendesha tukio hili la mtandaoni kikamilifu kwa mara ya kwanza, na lilikuwa mafanikio ya ajabu. Timu moja iliunda Kitabu cha Kupikia cha Hackweek chenye vyanzo vingi vya watu – ikijumuisha mapishi ya vyakula na vinywaji kutoka kwa Hackeronies zetu kote ulimwenguni, kamili na maagizo ya hatua kwa hatua na picha, ili kushiriki milo tunayopenda tukiwa tumejipanga. Timu nyingine ilidukua njia za kuwaweka watoto nyumbani na kuburudishwa na Kitabu cha kucheza cha Shughuli ya Watoto ya HackerOne kilichojaa kurasa za kupaka rangi, utafutaji wa maneno, mafumbo, maze, maandishi ya siri na mengine mengi ili kuhamasisha kizazi kijacho cha wavamizi. Hii ilishinda Tuzo ya Chaguo la Watu. Kwa jumla, tulikuwa na zaidi ya timu 16 tofauti na washiriki 75 duniani kote mwaka huu – na timu 5 bora zilizofunga haki za majigambo na pesa taslimu ili kusaidia mashirika yao ya misaada wanayopenda. Ufunguo wa kushinda shida hii ya ulimwengu kama kampuni iliyofanikiwa ni kwamba LAZIMA tuvumbue! Hili linasalia kuwa lengo letu na sababu moja kuu kwa nini Kampuni ya Fast ilitutajia Nambari 5 ya Kampuni Bunifu Zaidi Duniani mwezi uliopita. Imehamasishwa na Hackeronies zetu, kampuni yetu inavinjari wakati huu wa kipekee ili kuwapa watu wetu usaidizi kidogo wa ziada. Huku manufaa ya ofisi yakiwa kwenye barafu, tumejitolea kutoa yoga halisi ya moja kwa moja, madarasa ya kuzingatia, Afya Jumatano saa 2 usiku kufungwa mapema, malipo ya kila mwezi ili kuongeza nafasi ya WFH, muda wa ziada wa kupumzika, ulipaji wa afya na mafunzo ya usimamizi kuhusu kudhibiti timu za mbali. Tena, yote kuelekea lengo letu la Hack COVID-19. Na hiyo ndiyo roho iliyo nyuma ya Hackweek. Kila mtu anaweza kudukua, kuvumbua, kuhatarisha na kuchangia hapa kwenye H1 – na hiyo ndiyo sehemu kubwa ya kinachofanya kampuni hii na watu wake kuwa wa pekee sana. Nimefurahiya sana kujihesabu miongoni mwao na ninatarajia kuvinjari mawazo yangu machache ya ndoto. Je, wewe na kampuni yako? Kila shirika linahitaji wadukuzi, na kila shirika linahitaji kujivinjari. Kwa kutambua ari ya udukuzi katika shirika lako, unaweza kuvumbua haraka na kusaidia kufanya ulimwengu kuwa mahali pazuri zaidi. Ni kuhusu hacking kwa manufaa. Kama mshiriki wa timu ya uongozi, ninakaribisha mawazo na maoni yako kuhusu maadili na programu zetu – tweet kwetu, tuandikie, au tuma mawimbi ya dijitali ya moshi kwa feedback@hackerone.com. Na hujambo, ikiwa maadili yetu yatakuvutia, labda unapaswa kuja na kujiunga na HackerOne? Url ya Chapisho asili: https://www.hackerone.com/ethical-hacker/hackweek-insiders-look-hackerone-culture

Shopify Inaadhimisha Miaka 5 kwenye HackerOne – Chanzo:www.hackerone.com

Shopify Inaadhimisha Miaka 5 kwenye HackerOne – Chanzo:www.hackerone.com

Chanzo: www.hackerone.com – Mwandishi: HackerOne. Miaka mitano iliyopita, timu ndogo lakini yenye nguvu ya usalama ya Shopify ilianza safari yao ya usalama inayoendeshwa na wadukuzi na HackerOne. Tangu wakati huo, wamelipa zaidi ya $1,000,000 kama fadhila na kutatua zaidi ya udhaifu 1,150 kutokana na wavamizi. Mapema, timu ya usalama ya Shopify iligundua athari kubwa ambayo wavamizi wa kofia nyeupe wanaweza kuwa nayo katika kuimarisha usalama. Kilichoanza mwaka wa 2013 kama mpango wa kujiendesha, unaotegemea barua pepe za fadhila ya hitilafu na timu ya usalama ya mmoja, sasa imekuwa mpango kamili wa umma na timu ya Uaminifu na Usalama ya zaidi ya 100. Ili kusherehekea hatua hii muhimu, tuliketi. chini na Pete Yaworski, Mhandisi Mwandamizi wa Usalama wa Maombi katika Shopify ili kupata maelezo kuhusu wavamizi wakuu wa programu yao, mafunzo makubwa zaidi waliyojifunza, na mambo yajayo. “Usalama sio jambo la mara moja, lakini ni mzunguko unaoendelea. Tunajua kuwa kila wakati kutakuwa na hitilafu katika ukuzaji wa programu, “alisema Pete Yaworski, Mhandisi Mwandamizi wa Usalama wa Maombi huko Shopify. “Tunapoendelea, na tunaporudia, tunataka kuhakikisha usalama ni sehemu inayotumika ya mchakato huo, na kamwe sio kizuizi kwa uvumbuzi. Mpango wa fadhila wa mdudu wa HackerOne unaturuhusu kuweka kizibo kingine kwenye gurudumu la usalama. KUFIKIA NUMBERSLMwaka uliopita, Shopify ikawa mpango wa 5 wa fadhila wa hitilafu kwa umma kwenye jukwaa la HackerOne kufikia $1,000,000 zinazolipwa kwa hatua muhimu za fadhila. Njiani, walipata usaidizi kutoka kwa wavamizi 400+ wa kipekee katika nchi 60+. Kufikia sasa, wametatua zaidi ya udhaifu 1,150, huku fadhila ya juu ikiwa ni $25,000. Shopify inaendelea kuvutia walaghai wapya kwenye mpango wao na upeo wao wa kina na kujitolea kwa uwazi. Shopify imekuwa mtetezi mkuu wa kufichua udhaifu uliotatuliwa kwenye Udukuzi. Katika miaka 5 iliyopita, wamefichua hadharani zaidi ya ripoti 450 kwa timu zingine za usalama na wadukuzi kujifunza kutoka kwao. “Uwazi ni ushindi wa jumla kwa jamii pana, na tungependa kuona ufichuzi ukisawazishwa ndani ya jumuiya ya usalama,” alisema Pete. “Sio tu kwamba ni muhimu kwa programu zingine na wadukuzi kujifunza kutoka kwao, lakini hufanya kama bendera kwa wadukuzi kufuatilia, kujaribu marekebisho ya ziara kwa njia za kupita. Tumepokea ripoti za kuathiriwa ambazo hazingepatikana ikiwa hatungefichua hitilafu iliyotangulia. Mbali na kujitolea kwao kwa uwazi, pia wamepata nyakati za majibu za kuvunja rekodi. Wanalenga kulipa fadhila zinazostahiki ndani ya siku saba za utatuzi, na kuwa na wastani wa muda wa kujibu wa kwanza wa saa kumi! KUGONGA KATIKA MINDSET YA HACKERJumuiya ya wadukuzi daima iko mstari wa mbele katika mpango wa Shopify na wamejenga uhusiano kupitia matukio ya udukuzi wa moja kwa moja na ushirikiano kupitia ripoti. Kwa kweli, mnamo 2017, Shopify iliajiri Pete Yaworski, anayejulikana pia kama @yaworsk na mmoja wa wavamizi maarufu kwenye HackerOne, kwa jukumu la ndani kwenye timu yao ya usalama, baada ya kuanzisha uhusiano katika hafla ya udukuzi wa moja kwa moja ya 2017 h1-415. Kwa kuzingatia tamaduni ya kampuni, programu imeundwa kwa kweli na wadukuzi wa wadukuzi. “Usidharau ubunifu wa wadukuzi. Kila mtu huja na lenzi tofauti, utaalam tofauti, na uzoefu tofauti,” anashiriki Pete. “Hatutaki kuinua jamii kushughulikia shida kwa njia ile ile tungeshughulikia shida. Programu yetu inakuwa salama zaidi tunapoifungua kwa mawazo mbalimbali.” Pete na timu ya Shopify wamegundua wachangiaji wachache mashuhuri wa mpango katika kipindi cha miaka 5 iliyopita, ambao wote wameleta seti mbalimbali za ujuzi mezani: @h13- amekuwa mdukuzi nambari moja kwenye programu ya Shopify na timu imefurahia kutazama ujuzi wake. kubadilika, na umakini wake kwa undani kukua. Uwezo wake wa kupiga mbizi katika utendaji mpya inapotolewa umekuwa wa kuvutia na usiolinganishwa. @zombiehelp54 amekuwa akidukuzia Shopify kwa muda mrefu na ni mmoja wa wadukuzi wachache ambao wametunukiwa swag kwa ripoti zake muhimu. Uvumilivu wake wa kuibua tatizo hadi kuthibitisha uwezekano wa kuathiriwa unaweza kuhisiwa. Uwezo wa @cache-money kufikiri kwa ubunifu umeivutia timu. Unaweza kusema kuwa ana asili ya ukuzaji wa programu na jinsi anavyokaribia udukuzi. @0xacb imechukua fadhila kubwa zaidi ambayo tumewahi kutunukiwa. Yeye huwekeza muda wake anapokaribia programu na huchimba kina anaponusa uwezekano wa kuathiriwa, jambo ambalo husababisha mende zinazoathiri sana. @ngalog ni mpya zaidi kwenye mpango lakini ameonyesha uwezo mkubwa na nia ya kusaidia kufundisha wengine. Tunatumai atashikamana nasi na anaendelea kujitolea kwake kufichua hitilafu ili wengine wajifunze kutoka kwao. “Hatuoni ripoti kama mwingiliano wa mara moja, lakini kama hatua moja katika uhusiano wa muda mrefu na wadukuzi wetu,” alisema Pete. “Tunaheshimu wakati wao na tunafanya kazi kwa bidii ili kuhakikisha tunawaletea uzoefu mzuri. Ni ushindi mkubwa wanapochukua muda kuchezea mifumo yetu.” MAFUNZO NA KUTAZAMA MIAKA 5 IJAYOBila shaka, kuendesha programu ya zawadi ya hitilafu kwa nusu muongo huleta uzoefu na mafunzo mengi ya kushiriki. Kwanza, Shopify huwa na mtazamo wa wadukuzi kama rasilimali ya kuthamini. Moja ambayo hutoa thamani zaidi kuliko kuripoti mende tu. Ni mawazo ya wadukuzi, haswa mbinu na mbinu zao ambazo haziwezi kuigwa kwa urahisi, bila kujali jinsi juhudi za usalama za ndani zinavyoweza kuwa thabiti. Pili, Shopify inaona usalama unaoendeshwa na wadukuzi kama njia ya majaribio mapana na yasiyokoma zaidi ya yale ambayo timu yoyote ya usalama wa ndani pekee inaweza kutimiza. Blanketi hilo la kufunika linaenea chini hadi kwenye uhandisi na ukuzaji, ambayo huongeza “mlinzi” mwingine kwenye mzunguko wa maisha wa ukuzaji wa programu. Hatimaye, Shopify inaelekeza kwenye uwazi kuwa ni wa manufaa kwa kila mtu, kuanzia timu zao za ndani, hadi wavamizi wengine, hadi programu nyingine za fadhila za hitilafu, na hata kwa tasnia ya teknolojia kwa ujumla. Hasa kwa ufichuzi, imani yao ni kwamba kila mtu anavyoshiriki zaidi, ndivyo kila mtu atakavyokuwa salama. Huku mpango wa fadhila wa mende wa Shopify unapoingia mwaka ujao, timu inaendelea na lengo lake la kuboresha nyakati za majibu, kuimarisha ushirikiano wake na jumuiya ya wadukuzi na kuendelea kama programu bora kwenye HackerOne. Hii ni pamoja na kutafuta njia mpya za kuvutia wavamizi kwenye mpango kupitia baraka za ushindani, mawanda yenye athari na njia bunifu za mawasiliano. Ili kupata maelezo zaidi kuhusu mpango wa fadhila wa mdudu wa Shopify, tembelea ukurasa wao wa programu katika https://hackerone.com/shopify Original Post url: https://www.hackerone.com/vulnerability-management/shopify-celebrates-5-years-hackerone

Wadukuzi watachuana na San Francisco kwa Mwaka wa 4 Mfululizo – Chanzo:www.hackerone.com

Wadukuzi watachuana na San Francisco kwa Mwaka wa 4 Mfululizo – Chanzo:www.hackerone.com

Chanzo: www.hackerone.com – Mwandishi: Jessica Sexton. Tarehe 21 Februari, karibu wavamizi 70 walishiriki katika Tukio la kwanza la HackerOne la Udukuzi wa Moja kwa Moja kwa mwaka: h1-415 2020. Huu ni mwaka wa nne wa HackerOne kuandaa tukio la udukuzi wa moja kwa moja katika wiki ya RSA katika jiji letu la San Francisco. Miaka mitatu kati ya hiyo, tulishirikiana na mshirika wetu wa muda mrefu wa tukio la udukuzi wa moja kwa moja: Verizon Media. Matukio yetu maarufu huanza vizuri kabla hatujaleta wadukuzi kwenye tovuti. Tunaanza na dirisha la karibu wiki mbili la “mawasilisho”. Katika kipindi hiki, wadukuzi huanza kuchunguza upya na kudukua kwa mbali. Kwa ripoti zinazowasilishwa wakati wa dirisha hili, fadhila hugawanywa kwa usawa kwa ripoti zote zilizorudiwa (kinyume na kuja kwanza, kwanza kutumika) kama manufaa ya ziada kwa LHE zetu. Takriban wadukuzi 70 walishiriki na zaidi ya ripoti 400 ziliwasilishwa kwa muda wa wiki hizo mbili, wadukuzi walilipwa zaidi ya $707,000, huku dawgyg akiwa ndiye mdukuzi anayelipwa zaidi katika tukio hilo! Zaidi ya nchi 18 ziliwakilishwa katika tukio hili, na wavamizi 8 walihudhuria tukio lao la kwanza la udukuzi wa moja kwa moja. Kote Mji Akiwa na karamu maarufu, pedicabs, na shughuli nyingi, HackerOne alichukua udhibiti wa San Francisco wakati wa RSA. Mwaka huu ni pamoja na kitu maalum kidogo. Wadukuzi hao walipofika, walilakiwa na sura zinazofahamika kwenye mabango, mabasi, na katika vituo vya BART. Utengaji wa nasibu, nnwakelam, mbio za anga za juu ziliwakilisha jumuiya ya wadukuzi katika kampeni iliyolenga kusherehekea nguvu chanya ya wadukuzi. Hacking ni hapa kwa manufaa, kwa manufaa yetu sote. Siku ya Mchezo Kwa kila tukio la udukuzi wa moja kwa moja, HackerOne huandaa shughuli za kitalii kwa wavamizi, wateja na washiriki wa timu ya HackerOne ili kufahamiana katika mazingira yasiyo na shinikizo, ya kawaida. Mazungumzo ya kushangaza, urafiki, na kuanza kwa ushirikiano mwingi hutokea wakati wa shughuli hizi. Tumewapeleka juu ya milima huko Vancouver saa h1-604 , safari za boti kwenye Mto Thames huko London saa h1-4420, na kwa mara ya kwanza huko San Francisco: mchezo wa mpira wa vikapu wa NBA. Hii ilikuwa mara ya kwanza kwa wengi wa washiriki wetu wa tukio na ilikuwa njia ya kufurahisha kufahamiana zaidi! Kicking Things Off Iliyopangishwa katika Ukumbi wa Tukio la Elan, ng’ambo ya barabara kutoka Kituo cha Moscone na kitovu kikuu cha mkutano wa RSA, wadukuzi walifika ukuta hadi ukuta mabango ya katuni ya h1-elite, na swag ya kushangaza ya HackerOne na Paranoids. Url ya Chapisho asili: https://www.hackerone.com/ethical-hacker/hackers-take-san-francisco-4th-year-row

Jinsi Mashirika ya Shirikisho Hutumia Sera za Ufichuzi wa Athari Kuongeza Usalama – Chanzo:www.hackerone.com

Jinsi Mashirika ya Shirikisho Hutumia Sera za Ufichuzi wa Athari Kuongeza Usalama – Chanzo:www.hackerone.com

Chanzo: www.hackerone.com – Mwandishi: HackerOne. Sera za ufichuzi wa mazingira magumu, au VDPs, zimekuwa mbinu bora kwa mashirika na mashirika yote ya serikali. Hata hivyo, mashirika mengine bado hayajafungua milango yao kwa watafiti wa usalama ambao wangependa kuwasilisha udhaifu unaopatikana kwenye tovuti yao. Hivi karibuni, serikali ya shirikisho inaweza kuhitaji mashirika yote kuchapisha VDP. Kwa kupanga na kuona mbele, unaweza kubadilisha changamoto hii kuwa fursa ya kuongeza mkakati wako wa usalama. HackerOne na Serikali: Ushirikiano wa Kudumu Mnamo 2016, Idara ya Ulinzi ilichagua HackerOne kuendesha mpango wa kwanza wa usalama wa serikali unaoendeshwa na wadukuzi, Hack the Pentagon. Tukio hili la mafanikio liliweka msingi wa ushirikiano unaoendelea wa DoD na jumuiya ya watafiti wa usalama. Ikifanya kazi kwa karibu na HackerOne, Idara baadaye ilizindua sera ya ufichuzi wa athari, ikiwaalika wavamizi wa maadili kuwasilisha ripoti za athari. Mpango huo umejitokeza zaidi ya udhaifu 12,000 katika miaka minne pekee. Mwaka mmoja baada ya Hack the Pentagon, Huduma ya Mabadiliko ya Teknolojia ya GSA ikawa shirika la kwanza la kiraia kuweka usalama unaoendeshwa na wadukuzi katika mkakati wao wa usalama wa mtandao. Wakala ulishirikiana na HackerOne kuzindua mpango wa zawadi za hitilafu. Kusawazisha Bajeti Mgumu Bila shaka, mashirika mengi ya serikali hayana bajeti au rasilimali za DoD. Bila mkakati sahihi kuwepo, mashirika yanayotaka kutekeleza kwa haraka VDP yanahatarisha matumizi ya muda na rasilimali zisizo za lazima – ili kujifungulia tu mashambulizi ya ripoti za hatari ambayo hawajajiandaa kwayo. Msimu wa uchaguzi unapokaribia, mashirika ya serikali ya majimbo na serikali za mitaa hayawezi tena kuweka kando usalama wa mtandao. Mashirika haya yasipopata njia ya kuongeza kasi, na kwa bajeti finyu, wapiga kura wao watalipa bei hiyo. Hatua Zinazofuata Ambazo Hazivunji Benki Kwa bahati nzuri, kuna hatua chache unazoweza kuchukua ili kuongeza usalama wako bila matumizi makubwa. Unaweza kuanza kwa kutekeleza VDP. Kwa uchache, ni muhimu kuhakikisha kuwa jimbo lako lina mchakato unaofuatiliwa ili kupokea ripoti za athari kutoka kwa vyanzo vya watu wengine. VDP huwapa uwezo wadukuzi wa kimaadili na wataalam wa usalama kuripoti masuala yanayoweza kutokea kwa timu yako ya usalama kabla ya kuathiri wapiga kura wako au kuhatarisha uadilifu wa uchaguzi. VDP si lazima iwe ndefu. Ni lazima iwe na vipengele vitano tu: Ahadi: ahadi ya uaminifu kwa washikadau ambayo inaweza kuathiriwa na udhaifu wa kiusalama. Upeo: bidhaa, mali, na aina za kuathirika zinazoshughulikiwa na VDP. Bandari salama: inawahakikishia wanahabari kwa nia njema kwamba hawataadhibiwa kwa kuwasilisha udhaifu. Mchakato: mchakato ambao watafiti wanaweza kuwasilisha udhaifu. Mapendeleo: hati hai inayoonyesha jinsi ripoti zitakavyotathminiwa. “Vizuri vya Kutosha” si Vizuri vya Kutosha Ingawa VDP ni “vyema vya kutosha” kuteua kisanduku, haitoshi kwa usalama wa wapiga kura wako. Ili kufaidika zaidi na VDP yako, HackerOne inatoa jumuiya kubwa zaidi, ya aina mbalimbali, na iliyohakikiwa sana ya vipaji vya usalama ili kutafuta udhaifu katika hifadhidata na tovuti zako. Tathmini mifumo yako muhimu na uripoti masuala kabla ya kuathiri wapiga kura wako – na ufanye bila kuvunja benki. Je, ungependa kujifunza zaidi? Jiunge na jedwali letu la mtandaoni kuhusu sera za ufichuzi wa uwezekano wa kuathirika kwa serikali! Url ya Chapisho Asilia: https://www.hackerone.com/vulnerability-management/how-federal-agencies-use-vulnerability-disclosure-policies-level-security

Hakuna nafasi ya ubaguzi wa rangi au usawa hapa. – Chanzo:www.hackerone.com

Hakuna nafasi ya ubaguzi wa rangi au usawa hapa. – Chanzo:www.hackerone.com

Mauaji ya kinyama yaliyofanywa na polisi wa George Floyd yalifichua, kwa mara nyingine tena, ubaguzi wa rangi wa kitaasisi unaoikumba Marekani. Ni mbaya zaidi kuliko ubaguzi wa rangi. Tulichoshuhudia ni ukuu wa wazungu na idhini ya kitaasisi ya unyanyasaji dhidi ya watu Weusi. Kuna mifano mingine ya kutisha ya ubaguzi wa rangi na ukatili wa kimuundo kote ulimwenguni. Ubaguzi wa rangi upo kwa sababu kwa pamoja tunauruhusu uwepo. Makundi yenye mamlaka yanapotumia unyanyasaji dhidi ya watu binafsi wasio na uwezo, mawazo yote ya kibinadamu huvunjika. Tunakumbushwa kabisa juu ya umuhimu kabisa wa kutowahi kuacha kufanya kazi kwa ajili ya jamii bora. Katika HackerOne tunasema Hapana kwa ubaguzi wa rangi. Tuko hapa kufadhili fursa duniani kote. Tunaamini katika matarajio na uwezekano wa kila mwanadamu. Usalama unaoendeshwa na wadukuzi ni dhibitisho kwamba kwa kufanya kazi pamoja katika mipaka yote tunatimiza kile ambacho sivyo kingebaki kuwa kisichoweza kufikiwa. Hakuna nafasi ya ubaguzi wa rangi au usawa hapa. Imani yoyote katika au kutochukua hatua katika uso wa ubaguzi wa rangi inamaanisha kutokuwa na imani katika kile HackerOne inajaribu kutimiza. Hatuko huru kutokana na upendeleo wa kitamaduni au ubaguzi wa rangi bila fahamu katika HackerOne. Tunajaribu kukabiliana na mada hizi kwa nia iliyo wazi, pamoja. Hii inamaanisha kuzungumza juu ya ubaguzi wa rangi, kusikilizana, kuwa na wakati wetu wa aha. Ndoto yetu ni jamii iliyojengwa kwa heshima na ushirikishwaji ambapo kila mwanachama yuko na anahisi salama kutekeleza matarajio yao. Jinsi tunavyodukua programu ili kuifanya kuwa bora zaidi ni lazima tudukue jamii ili kuifanya kuwa bora zaidi. Udhalimu popote pale ni tishio kwa haki kila mahali. Ikiwa tunataka kubadilisha jamii, lazima tuanze na sisi wenyewe. Ni lazima tupige kura ili kuwawezesha watu ambao watatekeleza jukumu letu la kutokomeza ubaguzi wa rangi katika muundo wa jamii yetu. Lakini wabaguzi wa rangi wanatutegemea tuendelee kufanya lolote. Wana hakika kwamba muda si mrefu, tutarejea katika hali yetu ya kufurahisha ya kukataa, ambapo ubaguzi wa rangi ni tatizo la mtu mwingine. Tunapaswa kuwakatisha tamaa wabaguzi.

Page 1 of 23

Powered by WordPress & Theme by Anders Norén