15 éves a ZDI Bug Bounty programja

Annak idején így írtam róla:

A 3Com és az egyik részlege, a TippingPoint útjára indította a Zero Day Initiative (ZDI) programot. A program célja, hogy megvásárolja az eddig még titokban maradt (0day) biztonsági sebezhetőségeket és exploitokat azok felfedezőitől.

A 3Com nem azért vásárolja meg a hibák leírását és/vagy az exploitokat, hogy azokat tovább értékesítse. A célja az, hogy a hibákat kielemezve a megszerzett ismereteket felhasználhassa a biztonsági termékeiben. Az oldal szerint a 3Com nem fogja a megszerzett hibákat titkolni, hanem értesíteni fogja az érintett gyártókat akkor is, ha azok versenytársai.

A biztonsági hibák vásárlásának folyamata:

  •  a kutató felfedezi a hibát
  • bejelentkezik a biztonságos ZDI portálra, ahol bejelenti
  • kap egy bejelentési azonosítót
  • a 3Com megvizsgálja a sebezhetőséget, és eldönti (általában egy héten belül), hogy tesz-e érte ajánlatot
  • a kutató bejelentkezik a portálra, és ha elfogadja az ajánlatot, akkor beleegyezik, hogy a sebezhetőséget kizárólagosan átadja a 3Com-nak
  • megkapja a fizetségét (Pay Pal, Western Union, stb.)
    • a 3Com értesíti az érintett termék gyártóját
    • a TippingPoint IPS védelmi szűrőket elkezdik terjeszteni az ügyfeleiknek a sebezhetőség megakadályozásár
  • később a 3Com felveszi a kapcsolatot a többi biztonsági gyártóval, még a publikussá tétel előtt
  • a 3Com és az érintett termék gyártója együtt koordinálják a sebezhetőség publikussá tételét

A ZDI oldala itt.

Azóta a 3Com már sehol, ZDI-stől felvásárolta a HP. A ZDI visszatekintése itt.