Spotify выплатили более $142 тыс. хакерам, чтобы те помогли сохранить безопасность приложения и сайта стримера.

У Spotify более 232 млн активных пользователей в месяц, поэтому им надо хранить в безопасности большие объемы данных. Программа вознаграждения за найденные уязвимости HackerOne раскрыла, что Spotify выплатили за это более $142 тыс. с мая 2017 года. До этого платформа полагалась исключительно на имейл-отчеты по безопасности.

Через свою платформу Spotify принимают сообщения о безопасности от хакеров. Затем уязвимости проверяют и добавляют в собственный внутренний трекер ошибок Spotify в зависимости от ее серьезности. Время исправления багов в Spotify теперь составляет около 24 дней с момента сообщения до развертывания исправления. После этого хакерам выплачивается вознаграждение, объем которого зависит от серьезности проблемы, о которой они сообщили.

Оценка серьезности и размер награды за обнаружение бага осуществляется на основе Common Vulnerability Scoring System. Spotify исправили более 416 уязвимостей с момента перехода на платформу HackerOne в 2017 году. Среднее вознаграждение составляет $300, но максимальные выплаты варьируются в диапазоне от $875 до $3 тыс..

Spotify поощряют адекватное раскрытие багов и уязвимостей безопасности своей платформы. Но они также просят хакеров уважать своих пользователей. На странице с наградой за баги есть список вещей, которые компания просит хакеров не совершать. К ним относятся:

• Не атаковать учетные записи, принадлежащие конечному пользователю.
• Не запускать автоматическое сканирование без предварительной проверки.
• Не проверять физическую безопасность офисов Spotify.
• Не тестировать сервис с помощью методов социальной инженерии, таких как фишинг.
• Не запускать DDoS-атаки.
• Не заниматься торговлей украденными персональными данными пользователей.

В последних отчетах выделяется интересная деталь: Spotify признают, что большинство раскрытых уязвимостей относятся к сайтам, с которыми были заключены контракты на разработку. В настоящее время компания работает над глобальной инициативой Preferred Production Partner Program, которая призвана задать стандарты безопасности для партнеров стримера. Spotify говорят, что программа также включает в себя набор правил для поставщиков, чтобы те своевременно реагировали на уязвимости, выявленные в ходе программы обнаружения уязвимостей.

ИСТОЧНИК: Digital Music News