لقد تلقينا تقريرًا أمنيًا من باحث على نسختنا المستضافة على Discourse. لقد اطلعت عليه، وبعض التفاصيل ليست واضحة بالنسبة لي، بسبب افتقاري إلى فهم المنصة.
لقد قرأت الإرشادات الأمنية، ويبدو أننا بحاجة إلى تقديمها عبر HackerOne. المشكلة هي أنني إما أن أطلب منهم تقديم التقرير مباشرة، أو أقوم بذلك بنفسي (وقد أفقد معلومات في الترجمة، نظرًا لفجوة معرفتي).
هل يجب أن أرسل التقرير إلى بريدك الإلكتروني بدلاً من ذلك؟ في هذه الحالة، أخشى ألا يتم تحديد أولويته (لقد ذكرت ذلك في الإرشادات).
أعتذر عن هذه الأسئلة، أنا فقط أحاول معرفة ما يجب القيام به بعد ذلك. شكرًا لتوجيهاتكم، نحن نحب كل ما تفعلونه لنا!
من المؤكد تقريبًا أنها خدعة. “بريد مزعج أمني” مشكلة كبيرة. ولكن الرد عليها بـ “أوه ، شكرًا جزيلاً! يسعدنا جدًا أنك وجدت هذه المشكلة الخطيرة. يرجى الإبلاغ عنها إلى Hacker One في أقرب وقت ممكن للحصول على المال الذي تستحقه عن جدارة.” هو على الأرجح كيفية إثبات لرؤسائك أنك تقوم بعملك مع إسكات المتطفلين أيضًا.
هاه! أعتقد أن التقرير شرعي. لما جئت إلى هنا بخلاف ذلك أطلب المشورة.
على أي حال، أفهم المشاعر، أنا الشخص الوحيد المسؤول عن عمليات التطوير لجميع منصاتنا، ومن المزعج التعامل مع بعض هؤلاء الصيادين “المتوسلين للمكافآت”. أشاطركم إحباطكم.
في هذه الحالة، الأمر ليس غير مرغوب فيه، فقد قرأت وتحققت من التقرير المقدم إلينا عبر قنوات سياسة الأمان الخاصة بنا. لدينا ما يكفي من التطور لتقليل البريد العشوائي العام. يبدو التقرير وكأنه خطأ حقيقي (إن لم يكن مشكلة أمنية بعد، في انتظار التحقيق).
لا أريد أن يتجاهل الناس كل تقرير هنا، خاصة إذا كانوا يفتقرون إلى المعرفة العملية الكاملة بالآليات الداخلية لـ Discourse.
لقد أشرت إلى إجابة سابقة من الموظفين على أنها الطريقة الصحيحة للقيام بذلك، وهي تقديم جميع التقارير إلى HackerOne.
في السنوات الماضية، مررنا وبعض عملائنا بحالات متعددة لباحث أمني تواصل مع عميلنا أو معنا بشأن مشكلات أمنية خطيرة قاموا لاحقًا بالإبلاغ عنها عبر HackerOne. لا يركز الباحثون الأمنيون دائمًا على المنصة؛ في بعض الأحيان يبحثون في الشبكة أو الخدمات المرتبطة بشركة أو مجتمع معين. في مثل هذه الحالة، يبدو من الطبيعي لهم الإبلاغ عنها للمالك الفعلي للمنتدى بدلاً من مطوري البرنامج. التعقيد الإضافي هو أن المشكلات الأمنية قد تكون ناجمة أيضًا عن مكون إضافي مخصص أو تكوين معين.