Hemos recibido un informe de seguridad de un investigador en nuestra instancia alojada en Discourse. Lo revisé y algunos detalles no me quedan claros, debido a mi falta de comprensión de la plataforma.
Leí las directrices de seguridad y parece que debemos enviarlo a través de HackerOne. El problema es que puedo pedirles que lo informen directamente o hacerlo yo mismo (y posiblemente perder información en la traducción, dada mi brecha de conocimiento).
¿Debería simplemente reenviar el informe a su correo electrónico en su lugar? En ese caso, temo que no se priorice (mencionan eso en las directrices).
Disculpen estas preguntas, solo estoy tratando de averiguar qué hacer a continuación. ¡Gracias por su orientación, nos encanta lo que hacen por nosotros!
Es casi seguro que es falso. El “spam de seguridad” es un gran problema. Pero responderles con “¡Oh, muchas gracias! Estamos muy contentos de que haya encontrado este grave problema. Por favor, repórtelo a Hacker One a la mayor brevedad posible para obtener el dinero que tan merecidamente reserva” es probablemente la forma de demostrar a sus superiores que está haciendo su trabajo y, al mismo tiempo, acallar a los spammers.
¡Ja! Creo que el informe es legítimo. De lo contrario, no habría venido aquí buscando consejo.
En cualquier caso, entiendo el sentimiento, soy la única persona de DevOps para todas nuestras plataformas y resulta molesto con algunos de estos “cazadores de recompensas”. Comparto tu frustración.
Parece que cualquiera lo suficientemente inteligente como para encontrar un error en Discourse también sería lo suficientemente inteligente como para haber encontrado su página de Hacker One.
Si realmente encontraron un problema de seguridad, ¡me encantaría saber de él cuando se resuelva!
En este caso no es no solicitado, leí y verifiqué el informe que se nos envió a través de nuestros propios canales de política de seguridad. Tenemos suficiente sofisticación para reducir el spam genérico. El informe parece ser un error legítimo (si no un problema de seguridad todavía, pendiente de investigación).
No quiero que la gente llegue aquí desestimando cada informe, especialmente si carecen de un conocimiento completo y funcional de los mecanismos internos de Discourse.
Marqué una respuesta anterior del personal como la forma correcta de proceder, que es enviar todos los informes a HackerOne.
En los últimos años, nosotros y algunos de nuestros clientes hemos tenido múltiples casos en los que un investigador de seguridad se ha puesto en contacto con nuestro cliente o con nosotros con problemas de seguridad graves que luego informaron a través de HackerOne. Los investigadores de seguridad no siempre se centran en la plataforma; a veces investigan la red o los servicios vinculados a una empresa o comunidad específica. En tal caso, les parece natural informarlo al propietario real del foro en lugar de a los desarrolladores del software. Una complejidad adicional es que los problemas de seguridad también podrían haber sido causados por un complemento a medida o una configuración específica.