漏洞赏金、企业欺诈与GitLab——为何你应该停止使用HackerOne
这是一个给某些幸运儿的好机会。
在本文中,我将提供你应该停止在HackerOne上进行漏洞狩猎的理由,以及其他有趣(可能有价值?)的信息。
如果你读过我过去的三篇文章,可能已经对本文内容有所了解。
而且那些内容并非虚构、假设或AI生成的。
这里有个有趣的事实:
文章《滥用Gitlab.com共享Runner进行拒绝服务活动》从未存在过。Gitlab从未写过它,但他们本应该写。
我之前没提到的是,我在Gitlab的H1项目上进行了约两个半月的漏洞狩猎,发现了10多个有效的中/高严重性问题。其中90%被神秘地标记为“信息类”。
好吧,其实并不那么神秘。
我经营着一家成功的软件公司,我们致力于信息安全。
不同类型的漏洞、不同的严重程度,以及无数的借口。
不过Gitlab并非单独行动,他们使用了专业的第三方gaslighting服务——HackerOne。
我迟早不得不意识到,他们都在进行一场大规模的骗局。
报酬是多少?
这是个实习机会。我在给你探索网络安全职业选择的机会。
他们不像诚实的企业那样运行VDP(奴隶劳动),而是期望高质量的工作却没有任何回报。
但为什么是90%的报告而不是100%?
我们为每个漏洞支付0美元。
这是一种经典的诱饵调包战术,公司对一个漏洞进行分类,给你虚假的希望,让你以为某天可能会得到报酬。四个月后,痛苦的事实变得明显——他们从未打算付我一分钱。
那些喜欢做免费劳动的人呢?那些为让普通民众的上网环境更安全而牺牲的日常英雄们。
VDP猎人与万亿美元公司谈判“薪水”。
公司: 我正在给你一个真正的机会,VDP_SLaVe_X。
VDP_SLaVe_X: 做什么?
公司: 我通常不会与你分享我的商业计划,但现在到了一个能让公司赚足够钱扩张到下一阶段的时刻。我们可以称此为关键时刻。我邀请你,VDP_SLaVe_X,成为抓住这个机会的团队一员。
看着公司利润……快速瞥了一眼VDP_SLaVe_X,公司: 你一直在问你的绩效评估。首先,我看到你在整体专注和徽章获取方面有了很大进步。面对复杂问题,你正在培养找到清晰简单解决方案的真正能力。我也注意到你热情高涨。很高兴看到你在处理新想法时眼睛发亮的样子。我希望你未来多年能继续用你的创新思维激励我们。
VDP_SLaVe_X: 谢谢,兄弟。我在努力。
他们把这拍成了电影。
公司: 这就是为什么我提拔你为我们漏洞研究部门的执行副总裁。
VDP_SLaVe_X: 我现在是什么?
公司: 你是个助理。
一个有意义的晋升。
VDP_SLaVe_X: 有加薪吗?
公司: 当然。
VDP_SLaVe_X: 多少?
公司: 选个数字。
VDP_SLaVe_X: 一个RCE漏洞0美元。
公司: 同意。
VDP_SLaVe_X: 能更多吗?
公司: 现在不行。我们已经达成协议了。
VDP_SLaVe_X: 我本可以拿到更多,对吧?
公司: 当然。
剧透警告:不要在VDP上狩猎,否则这可能发生在你身上 :(
VDP研究员在获得所有徽章后(摄于H1大会外)。
安息吧rick
回到GitLab:关于合规与SLA
我之前说过,但值得重复——GitLab为一些最大的名字提供支持:高盛、美国军方、英伟达,以及无数其他价值数十亿美元的公司。
不言而喻——他们期望顶级的安全性和透明度。
全是作秀。
截止日期
高严重性漏洞三十天,中严重性九十天,低严重性一百八十天。
而“信息类”需要一百年。
Gitlab所要做的就是准确评估严重性并及时修复错误。看起来很简单,对吧?
但如果他们变得聪明,开始将70%以上的有效报告标记为“信息类”呢?短期内可以节省数百万——甚至没有人会注意到或关心。没有问责,没有后果。
但驳回70%以上的有效报告——这难道不有点违法和欺诈吗?留下一大堆未修复的安全问题——这难道不是重大过失吗?修复时间、CVSS等等呢?
它们碰巧是信息类的。来自H1的简短回复。一如既往。
如果我们深入挖掘,我们可以找到类似的内容:
我们认真对待合规性
在GitLab,我们知道安全、隐私和可访问性对我们的客户和利益相关者有多重要。
以及
为什么漏洞修复SLA很重要?
修复SLA根据漏洞的关键性和预期影响设定了合理期望,规定了GitLab用户和客户可以期望安全漏洞被缓解的速度。漏洞及其解决所需的工作需要努力来缓解,与所有工作一样,这必须确定优先级。基于严重性和影响的SLA是确定此工作优先级同时为我们的产品、系统安全以及客户和用户安全带来最积极影响的最简单方法。
从公司语言翻译过来: “高盛?更像是高盛可以滚蛋。” — Gitlab
搞定
Vastaamo案例
当标准越来越低时会发生什么?
Vastaamo是一家芬兰私人心理治疗服务提供商,成立于2008年。[1] 2020年10月21日,Vastaamo宣布其患者数据库被黑客入侵。肇事者获取的私人信息被用于试图勒索Vastaamo,后来又勒索其客户。[2] 勒索者要求40个比特币,当时价值约45万欧元,并威胁如果不支付赎金就公布记录。为了施加压力,勒索者每天在Tor留言板上发布数百名患者的记录。
聪明的黑客——暴力破解了root:root。
如果Gitlab继续其完美无缺的企业战略,他们的一些客户的客户可能已经和Vastaamo一起在瓦尔哈拉殿堂相聚了。
悲剧的是,一些受Vastaamo数据泄露影响的个体自杀身亡。在泄露事件肇事者Aleksanteri Kivimäki的审判中,代表受害者的律师Jenni Raiskio透露,她的律师事务所接到了一些人的联系,他们的亲属在患者记录在线发布后结束了自己的生命。
近乎普遍的DoS
我的一些报告很普通,有些相当有趣,其中一个是DoS漏洞,其漏洞利用在我测试的99%的Gitlab实例上都有效。
在任何人说之前:“嘿,这是非法的,你无权这样做。而且,非常非法。我提到过这非常非法吗?”
在正常情况下,是的。这次呢?我获得了GitLab和H1双方的许可。
我甚至没有在H1上被永久封禁。这就是我知道他们对此没问题的原因。
调查仍在进行中,几乎在我承认后一个月。
但造成数百万美元的损失(2周以上的DoS)、试图敲诈/勒索等行为难道不违反H1规则吗?嗯,这很复杂。
HackerOne的可悲状态
这是一个“意外”;)
H1会因为你恐同或无缘无故封禁你。
调查时间非常长。
仍在进行中。
他们是好人,这很好。非常宽容。
探索选项
在向执法部门报告之前,Gitlab必须计算是否值得通知他们的客户、执法部门、投资者。以下是他们搞砸的程度。
比较以下两种情景。
选项A: 一个未报告的DoS漏洞造成了这种程度的损害——Gitlab部分过错,因为他们没有在网络安全上投入足够资金。
选项B: 一个先前报告的DoS漏洞(7.5+严重性) 被标记为信息类(欺诈)(连同许多其他“信息类”) 超过4个月未修复(过失) 使用他们自己的共享runner(5万+免费分钟——约5千美元)进行漏洞利用,他们超过2周没有注意到(更多失败/过失?) 攻击者开始向其企业客户发送隐晦威胁,在与H1支持机器人“谈判”12小时+后,Gitlab最终封禁了攻击者
选项A相当糟糕,特别是如果许多企业客户成为目标。选项B糟糕10倍。
失败,接二连三的失败导致了灾难。要是有办法预防就好了……
记住,每次一个程序将你的关键/高/中严重性漏洞标记为“信息类”时,他们的意图不仅是拒绝支付你,还要拥有无限的修复期限。这部分很重要,因为他们也在欺诈自己的客户。
这对Gitlab尤其如此。
检测器
我仍然不知道那是否是真人,或者H1是否如此犯罪地吝啬,以至于他们对此类案件使用AI支持机器人。这是另一个重大失败,但不在Gitlab这边。
仍有许多问题未得到解答—— 他们通知执法部门了吗? 他们通知客户了吗? 他们说出全部真相了吗? 现在已过去近一个月。
如果他们未通知执法部门——那是串通,甚至可能引发更多法律问题。H1或Gitlab本可以/本应该立即这样做。
他们不通知执法部门让我想起那部电影中的那个场景。
我们会在适当的时候这样做。
在适用的情况下,HackerOne保留在认为必要时通知相关当局的权利。
无论如何,这是“一石二鸟”。或者用一份报告(#3118020)让Gitlab和H1都牵连其中。
HackerOne——由罪犯,为罪犯。
Gitlab没有做公开博客文章/报告。也没有K-8表格。
我以为这是一个重大事件?但这不是由我决定的。无论如何,他们从9月22日起有4个工作日来申报。
吹哨人听起来比
恭喜,你已到达结尾。
你知道sec.gov有一个snit……我是说,吹哨人计划吗?任何ra……吹哨人如果在看到什么后说出来,可以赚一些冷硬现金。
Sosa先生 SEC执法行动中命令超过100万美元的制裁。奖励范围在收取资金的10%到30%之间。
这来自电影,不是Instagram短视频,放松。
请不要报告。因为我可能编造了所有这些。一切都可能是虚构/AI生成的废话。无论如何,如果你不是脑死亡,你应该能算出2 + 2。
Gitlab还欠我3万多美元,为了我诚实的劳动。这些家伙真是混蛋!
H1最糟糕的是虚伪
感谢阅读。