Dropbox ontdekt 264 kwetsbaarheden tijdens eendaags bug bounty-programma

Dropbox heeft 264 kwetsbaarheden ontdekt na een eendaags bug hunt in Singapore, waarbij hackers uit tien landen zochten naar fouten. De dag werd georganiseerd door bug bounty-platform HackerOne. 45 leden van het bedrijf uit onder meer Japan, India, Australië, Hongkong en Zweden kwamen samen om een poging te doen om systemen van Dropbox binnen te komen.

Dropbox had een paar dagen eerder delen van zijn ‘aanvals’-bereik bekendgemaakt, schrijft ZDNet. Daardoor hadden leden van HackerOne al tientallen potentiële fouten geïdentificeerd en gerapporteerd, voordat het live-evenement begon. De focus van het evenement lag volgens het bedrijf op Dropbox en zijn recente overname van HelloSign.

Een woordvoerder van Dropbox stelt dat het een “goed gedefinieerd proces” heeft voor het bekijken van bugs die via dergelijke initiatieven gemeld worden, evenals voor het bepalen van de ernst van de fout en de vereiste oplossingen. Ook raadt het alle bedrijven aan “om te investeren in een bug bounty-programma”.

319.300 dollar

Het bedrijf investeert naar eigen zeggen verder veel in het bouwen van zijn eigen beveiligingsteam en het onderwijzen van zijn werknemers in best practices binnen beveiliging en het huidige dreigingslandschap. Daardoor moet iedereen binnen de organisatie zichzelf beter kunnen bewapenen tegen aanvallen als spear-phishing en social engineering, aldus de woordvoerder.

De woordvoerder wilde echter niet zeggen hoeveel hack-pogingen Dropbox per dag detecteert en blokkeert. Hij stelt wel dat het wereldwijde gebruikersaantal van 500 miljoen betekent dat de uitdagingen waar het mee om moet gaan, door slechts een paar bedrijven wereldwijd ervaren worden.

HackerOne heeft al ruim 1.300 van dergelijke programma’s opgesteld sinds het in 2012 werd opgericht. Daarmee heeft het in totaal ruim 49 miljoen dollar uitbetaald aan zijn hackers. Op dit moment zijn er 390.000 geregistreerde hackers te vinden in het netwerk van de organisatie. Met het live-evenement waarbij Dropbox gehackt werd, haalde de organisatie 319.300 dollar op aan bounty’s.