Gyakran Ismételt Kérdések

A bug bounty olyan legális információbiztonsági programot jelent, amely során egy szervezet (program tulajdonosa) jutalmat ad a tesztelőknek (etikus hackernek) a szolgáltatásukban/termékükben talált sérülékenységekért/hibákért.

A HACKTIFY egy bug bounty és sérülékenység közzétételi platform, ami összeköti a cégeket az etikus hackerekkel. A szervezetek tesztelendő szolgáltatásainak részleteit és a tesztelési szabályokat feltöltjük az oldalunkra. A regisztrált etikus hackerek láthatják ezeket és legális úton sérülékenységeket kereshetnek és jelenthetnek az oldalon keresztül.

A sérülékenység közzétételi irányelv vagy program (angolul: Vulnerability Disclosure Policy/Program) cégeknek egy fontos dokumentuma, ami leírja annak a folyamatát, hogy a szolgáltatásukban talált sérülékenységeket hogyan tudja a megtaláló (etikus hacker) bejelenteni. Programként ennek az irányelvnek a menedzselését értjük.

A honlappal, platformmal, szolgáltatásainkkal vagy adott programmal kapcsolatban keress bennünket bizalommal az [email protected] e-mail címen, a honlap kapcsolati űrlapja segítségével, vagy telefonon.

Különféle megoldásokkal és legjobb gyakorlatokkal biztosítjuk, hogy mindenki adata biztonságban legyen és csak az arra jogosultak férhessenek hozzá. Ilyen például a naplózás, titkosítás, fejlesztői környezet szeparálása is.

Programokban való részvételhez szükséged lesz egy felhasználói fiókra, melyet a regisztráció fülön könnyedén létre tudsz hozni. A felhasználási feltételeket elolvasva és a tesztelési szabályzatot betartva részt vehetsz publikus programokban.

Egyszerűen csak kattints a regisztrációs fülre, ahol adataid megadása után létre tudod hozni a felhasználói fiókodat. A regisztrációhoz megerősítés szükséges, melyet a megadott e-mail címre kiküldött linkre kattintással tudsz aktiválni. Ezt követően be tudsz lépni fiókodba, s kitöltheted profilod részleteit.

A tesztelés körülményeiről és kereteiről, minden egyes programban külön tájékozódhatsz. Fontos, hogy mindig tarts be ezeket a feltételeket és a tesztelési szabályzatot. Ne próbálkozz olyan módszerekkel, amelyek nem engedélyezettek. Mindig jelentsd a feltárt sérülékenységet honlapunk riport felületén, azokat ne használd fel saját célra.

Felhasználói fiókodban van lehetőséged jelenteni a sérülékenységet a riport menüpont alatt. Ügyelj arra, hogy a szükséges adatokat pontosan és teljesen töltsd ki. Ne hozz nyilvánosságra semmilyen talált hibát, ne használd fel saját célokra. Sérülékenységet jelenteni a saját programok közé felvett programokra tudsz (könyvjelző).

Jutalmat a feltárt és bejelentett sérülékenységek után kaphatsz, amelynek meg kell felelnie a program leírásában meghatározott követelményeknek. Minden riport ellenőrzésen esik át, s amennyiben elfogadásra került elkezdődik a kifizetési folyamat, melyet az általad választott módon teljesítünk.

Privát programok esetében egy meghatározott kör kaphat csak engedélyt a tesztelésre, melyet meghívással lehet elfogadni. Meghívót e-mailben kaphatsz, az abban található link segítségével elfogadod a meghívást és láthatod a program részleteit. A privát programokban való tesztelés hasonló elven működik, mint a publikus, eltérő feltételekről a leírásban fogsz információt találni.

A programokban való részvétellel, bejelentett és elfogadott riportok után és különféle feladatokért pontokat kaphatsz, amellyel különböző rangokat érhetsz el. Ezek a pontok és rangok profil beállításaidnak megfelelően megjelenhetnek a ranglistán. Ezzel láthatod, hogy épp milyen eredményt értél el a hacker közösséghez képest. A ranglistán való helyezés alapja lehet egy privát programba való meghívásnak is, így érdemes gyűjteni őket.

Nem. Minden esetben be kell tartanod a felhasználási feltételeket (ÁSZF) és a tesztelési szabályzatot. Sérülékenységet csak a Platformon keresztül jelenthetsz be, azokat nem használhatod fel saját célra, nem küldheted be közvetlenül a programot indító cég számára. A feltételek megszegése a programból való kizárást, a Platformról való kitiltást, végső esetben büntetőjogi eljárást vonhat maga után.

Ez függ a program részleteitől, a beküldött riportok számától, valamint a programot indító cég visszajelzésétől is. Mindig légy türelmes. Minden beküldött riport ellenőrzésre kerül, s visszajelzést fogsz kapni, ha jutalomban részesülsz. Riportod aktuális állapotáról felhasználói fiókodban tájékozódhatsz.

Nem. A HACKTIFY szerződéses kapcsolatban áll a programot indító cégekkel, szervezetekkel, így a jogi feltételek biztosítottak arra, hogy sérülékenységek után kutathass. Fontos azonban, hogy a szabályok be nem tartása, az adatokkal való visszaélés eredményezheti büntetőjogi eljárás kezdeményezését is, ezért mindig légy körültekintő, s figyelmesen olvasd el a feltételeket és a program tesztelési szabályzatát.

A személyazonosság ellenőrzésére jogi kötelezettség teljesítése céljából van szükség, hogy megelőzzük a csalásokat és visszaéléseket. A fiók “ellenőrzött” státuszba állítására platformra történő belépést követően az erre szolgáló menüponttal van lehetőség. A regisztrációnak nem feltétele a személyazonosság elvégzése. Abban az esetben viszont kötelező, ha jutalom kifizetését szeretné kezdeményezni a felhasználó.

Publikus program: az oldalon regisztrált összes etikus hacker számára nyitott program. Bárki tesztelhet, találhat hibát és jelentheti a sérülékenységeket az oldalon keresztül.

Privát program: Az ügyfél által kiválasztott kiberbiztonsági szakemberek bevonása, nem elérhető minden beregisztrált számára. Általában magasabb jutalom fizetésével jár – a hackerek számára pedig nagyobb megbecsülést jelent az ezeken való részvétel.

Helyszíni: a legdiszkrétebb program típus – a nyitó szervezet helyszínén és labor környezetében kerül sor a megoldásának tesztelésre a kliens által kiválasztott szakemberek által. Ezt a szolgáltatás típust még nem aktív termékek/rendszerek vagy fizikai eszközök teszteléséhez ajánljuk.

Oldaladat akkor is feltörhetik, érhetik rosszindulatú támadások, ha nincs bug bounty programod. Sőt, így még arról sem értesülsz, hogy milyen módon hatoltak be a rendszeredbe, mit loptak el, valamint még bírságot is fizethetsz, ha az adatszivárgás kiderül. Egy publikus bug bounty program kockázata nem különbözik a behatolási teszt (penetration teszt) kockázataitól.

Minden rendszer egyedi komplexitással rendelkezik, ezek mindegyike tartalmazhat különböző kritikusságú sérülékenységeket. Sőt, minden nap újabb és újabb hibák jelennek meg, melyeket általában pár napon belül ki is tudnak használni a rosszindulatú hackerek. Jobb, ha megelőzzük őket és magunk derítjük fel a rendszerünk gyenge pontjait, hogy ezeket befoltozva biztonságosabbá váljon cégünk és elkerüljük a veszteségeket, büntetéseket.

Többféle hacker típust különböztethetünk meg, melyek közül oldalunkra olyan információvédelmi szakemberek regisztrálnak be, akiknek van tapasztalata tesztelésben, s elfogadják a tesztelésre vonatkozó szabályokat, használati feltételeket, így ezen személyek etikus hackerként végzik a teszteléseket.

Folyamatos tesztelés várható a hacker közösség által. Segítünk a program elindításában és üzemeltetésében. Szolgáltatásunk tartalmaz bug riport validálást, így céged már egy ellenőrzött jelentést kap – nem kell azzal foglalkoznod, hogy a hiányos riportokat visszaküld hiánypótlásra. A teljes folyamatot felügyeljük, neked csak a sérülékenységekkel kell foglalkozni.

Publikus és privát program esetén minden kommunikáció a Hacktify csapattal történik, így nem kell a hackerekkel kapcsoltba kerülnöd.

Természetesen titoktartási kötelezettség mellett gondoskodunk arról, hogy a sérülékenységek csak az arra felhatalmazottak számra legyen hozzáférhető, valamint honlapunk titkosítási megoldásokkal segíti ennek betartását. A hackerek számára is több helyen felhívjuk a figyelmet arra, hogy nem hozhatnak nyilvánosságra semmilyen információt – és velük ezt szerződés formájában is rögzítjük.

Az etikus hackerek komoly képzettséggel rendelkező szakemberek a piacon, sokkal többe kerül, ha céged bízza meg őket és úgy végeztetsz behatolás tesztet. Bug bounty program esetén egy hatalmas közösség fogja tesztelni a cégedet, mindez egyénileg idő – és erőforrás igényes lenne.