Programa de Recompensa por Errores de Visma
Visma tiene un programa de recompensas por errores (Bug Bounty Program) en asociación con Intigriti, una de las mayores plataformas de recompensas. Esta es una excelente manera de probar la seguridad de nuestros productos y servicios, con la ayuda de hackers éticos externos altamente calificados de todo el mundo.
Buscan vulnerabilidades (debilidad en el código que puede ser explotada por ciberdelincuentes para obtener un acceso no autorizado) en nuestros productos, los reportan y reciben pagos en base a sus hallazgos. Los activos específicos se eligen como alcance, lo que significa que pueden atacar lo que hemos acordado que sea probado. Esto nos permite corregir los errores antes de que sean explotados por los ciberdelincuentes.
Nuestro programa consta de dos niveles, un programa público donde miles de hackers éticos en la plataforma pueden participar, y uno privado solo por invitación donde invitamos alrededor de 400 hackers éticos que son seleccionados específicamente en función de su lista de méritos. De esta manera obtenemos una capa extra de seguridad donde miles de hackers éticos increíblemente hábiles pueden contribuir a reforzar nuestra seguridad comprobando el código creado por nuestros más de 6000 desarrolladores.
Evento en Vivo de Hacking
En noviembre de 2021, llevamos a cabo un evento virtual de piratería en vivo (llamado 1337UP1121) junto con Intigriti que en ese momento resultó en 251 vulnerabilidades válidas, incluidas dos excepcionales y dos críticas, lo que significa que eran bastante graves y podrían haber tenido un impacto muy alto o crítico en la aplicación si se explotaban. Eso se considera un gran éxito. Este año, con el covid en retirada, hemos querido repetir el éxito en la forma de un evento físico. Un evento como este nos da la oportunidad de realizar más controles de seguridad concentrados y extensos de nuestros productos con la ayuda de algunos de los mejores hackers éticos que existen, en un entorno competitivo.
Este entorno acelera la búsqueda de errores y hace que el proceso sea más divertido y motivador. "Un evento de pirateo en vivo se trata de mentes brillantes que se unen y buscan éticamente agujeros de seguridad, se trata de trabajo en equipo, trabajo duro, conocer gente nueva y hacer nuevos amigos mientras mejoramos la seguridad de nuestros activos" - Ioana Piroska, gerente del programa de recompensa por errores.
El target seleccionado en esta ocasión ha sido Visma e-conomic, una plataforma contable que proporciona servicios financieros hasta a 170.000 empresas danesas, siendo así uno de los socios de la familia Visma clave en Dinamarca. También se considera uno de nuestros activos más maduros en términos de seguridad, por lo que el objetivo era difícil y robusto.
El 17 de noviembre de 2022, 30 de los mejores hackers de nuestro programa de recompensa por errores privado estuvieron reunidos en Copenhague tras dos intensas semanas con poco sueño para los hackers, el equipo de seguridad de Visma e-conomic así como algunos de nuestros compañeros de los grupos de seguridad coordinaron todo.
Para no interferir con los sistemas de producción, se construyó un entorno similar a la producción, para el Live Hack, se rompieron muchos récords para Visma durante esta experiencia. Y al final, una persona, de solo 20 años, ganó la competencia al encontrar la mayor cantidad de errores y también uno de los más críticos.
Por nuestra parte, nuestros ingenieros de seguridad trabajaron continuamente duro y rápido para arreglar cada uno de los errores que se encontró, llevando la seguridad de Visma e-conomic a un nivel aún más alto.
Esta experiencia demuestra cuán valioso es un programa de recompensas por errores y cuán grande es la inversión que estos eventos de piratería en vivo pueden representar para empresas como Visma, donde todo el núcleo de nuestra actividad depende de una buena seguridad.
Fuente: https://blog.intigriti.com/2022/11/15/1337up1122-vismas-second-live-hacking-event/
Ver artículo completo