Recebemos um relatório de segurança de um pesquisador em nossa instância hospedada no Discourse. Eu o revisei e alguns detalhes não estão claros para mim, devido à minha falta de compreensão da plataforma.
Li as diretrizes de segurança e parece que precisamos enviá-lo via HackerOne. O problema é que posso pedir que eles reportem diretamente ou fazer isso eu mesmo (e possivelmente perder informações na tradução, dado meu conhecimento limitado).
Devo apenas encaminhar o relatório para o seu e-mail? Nesse caso, temo que ele não seja priorizado (você menciona isso nas diretrizes).
Desculpe por essas perguntas, estou apenas tentando descobrir o que fazer a seguir. Obrigado por sua orientação, adoramos o que vocês fazem por nós!
É quase certo que seja falso. “Spam de segurança” é um grande problema. Mas responder a eles com “Oh, muito obrigado! Ficamos muito felizes que você tenha encontrado este sério problema. Por favor, relate-o ao Hacker One o mais rápido possível para obter o dinheiro que você tão legitimamente reserva.” é provavelmente como provar aos seus superiores que você está fazendo o seu trabalho, ao mesmo tempo em que cala os spammers.
Hah! Acho que o relatório é legítimo. Não teria vindo aqui em busca de conselhos de outra forma.
De qualquer forma, entendo o sentimento, sou a única pessoa de DevOps para todas as nossas plataformas e fica irritante com alguns desses caçadores de “beg-bounty”. Compartilho sua frustração.
Parece que qualquer pessoa inteligente o suficiente para encontrar um bug no Discourse também seria inteligente o suficiente para ter descoberto a página deles no Hacker One.
Se eles realmente encontraram um problema de segurança, adoraria saber sobre isso quando for resolvido!
Neste caso, não é não solicitado, li e verifiquei o relatório enviado a nós através de nossos próprios canais de política de segurança. Temos sofisticação suficiente para reduzir o spam genérico. O relatório parece ser um bug legítimo (se ainda não for uma questão de segurança, pendente de investigação).
Não quero que as pessoas cheguem aqui descartando todos os relatórios, especialmente se elas não tiverem conhecimento completo e funcional dos mecanismos internos do Discourse.
Marquei uma resposta anterior da equipe como a maneira correta de proceder, que é enviar todos os relatórios para o HackerOne.
Nos últimos anos, nós e alguns de nossos clientes tivemos múltiplos casos de um pesquisador de segurança que nos procurou ou procurou nossos clientes com sérios problemas de segurança que posteriormente foram relatados via HackerOne. Pesquisadores de segurança nem sempre estão focados na plataforma; às vezes eles estão olhando para a rede ou serviços ligados a uma empresa ou comunidade específica. Nesse caso, parece natural que eles relatem ao proprietário real do fórum em vez dos desenvolvedores do software. Uma complexidade adicional é que os problemas de segurança também poderiam ter sido causados por um plugin personalizado ou configuração específica.