Dosya barındırma şirketi Dropbox, hata ödül programı aracılığıyla bildirilen güvenlik açıkları için araştırmacılara 1 milyon doların üzerinde ödül verdiğini söyledi.
Dropbox 2014 yılında hata ödül programını başlattı ve Nisan 2015’te HackerOne platformunda bir program açıkladı . Hata ödül programı şu anda şirketin ana web sitelerini, ortak çalışma alanı hizmetini, masaüstü ve mobil uygulamalarını kapsamaktadır.
Ödüller 216 $ ile 32.000 $ arasında değişmektedir ve en yüksek tutar Dropbox sunucularını etkileyen kritik uzaktan kod yürütme güvenlik açıkları için sunulmuştur.
Şirket bugüne kadar 1 milyon dolardan fazla ödeme yaptığını açıkladı. Buna HackerOne platformu üzerinden yaklaşık 300 güvenlik açığı için 318.000 dolardan fazla ve geçen yıl Singapur’da gerçekleşen canlı bir hack olayında 330.000 dolardan fazla ödül de dahildir .
Dropbox ayrıca, parola korumalı belgelere erişmek, kullanıcının belgelerine erişmek, sunucu tarafı istek sahteciliği (SSRF) aracılığıyla dahili Dropbox hizmetlerine erişmek, çalmak için kullanılabilecek güvenlik açıklarını içeren favori hata raporlarının bir listesini paylaştı.
Dropbox ürün güvenliği ekibi bir blog gönderisinde “Güvenlik topluluğunun dışındaki kişilere, güvenlik araştırmacılarını size saldırmaya teşvik ederek platformunuzu daha güvenli hale getirmeniz mantıksız görünebilir, ancak tam olarak bu programların sağladığı değer bu. Bu hataları keşfetme ve düzeltme süreci, son derece güvenli bir organizasyonu ve gittikçe sertleşen ürün yüzeylerini korumamızın anahtarıdır.” denildi.