JP Morgan lança programa de recompensa de descoberta de vulnerabilidades

JP Morgan lança programa de recompensa de descoberta de vulnerabilidades. O JPMorgan Chase está permitindo que os chamados hackers éticos sondem seus sites em busca de pontos fracos, tornando-se um dos poucos bancos a empregar uma prática de segurança cibernética comum entre as startups.

O JPMorgan se recusou a dizer se a iniciativa de descoberta de falhas – conhecida como “JPMorgan Chase Responsible Disclosure Program (Programa de Divulgação Responsável do JPMorgan Chase)” e discutida abertamente em seu site – detectou quaisquer problemas de segurança ou se premiou algum dos pesquisadores de segurança cibernética por seu trabalho.

Queremos saber se você tem informações relacionadas a possíveis vulnerabilidades de segurança dos produtos e serviços do JPMorgan Chase. Valorizamos seu trabalho e agradecemos antecipadamente por sua contribuição.”, afirma o programa do JP Morgan.

No entanto, ele disse que qualquer um que encontrar uma falha de segurança não enfrentará nenhuma repercussão legal, desde que não explore a falha para cometer fraudes ou roubar informações de clientes.

Projetos de Hacking ético, é muito utilizado pelas empresas, principalmente bancos, para testar e verificar os seus sistemas periodicamente. A contratação destes serviços estão sempre sob um rígido contrato com cláusulas e termos bem definidos, incluindo NDA – Non Disclousure  Agreement , porém o esforço do banco JP Morgan, sai deste modelo tradicional e tem todas as características de um típico programa de recompensas de bugs, onde os pesquisadores de segurança podem obter reconhecimento ou compensação por encontrar e reportar vulnerabilidades ou erros em sites e sistemas corporativos.

Por seus esforços, os pesquisadores que fazem contribuições substanciais para encontrar falhas para o JPMorgan podem ver seu nome em um quadro de líderes ou divulgados na mídia, de acordo com o link on-line do programa de divulgação.

Na divulgação feita no site Information Management, programa ilustra como a cibersegurança de crowdsourcing – uma tática que alguns analistas do setor dizem que tem potencial para ser explorada – começou a fazer incursões no setor bancário.

Houve um aumento na adoção de programas de recompensas de bugs em serviços financeiros, mas ainda é relativamente pequeno, de acordo com a Bugcrowd, uma empresa de segurança cibernética que emprega hackers para encontrar falhas nas defesas de sites corporativos. A maioria dos programas é mantida em sigilo, mas algumas empresas financeiras, como Mastercard, Square e ING, tornam pública a existência de seus programas.

Tais programas são comuns em outras partes do mundo dos negócios, mas menos difundidos no setor bancário, disse Scott Ramsey, diretor-gerente da Capco.

Os grandes bancos que possuem programas internos de desenvolvimento não estão abertos à ideia de disponibilizar aplicativos para hackers éticos para tentar identificar vulnerabilidades e exposições no aplicativo“, disse Ramsey.

Há várias razões pelas quais, disse Ramsey, mas uma óbvia é que, apesar da melhor intenção de tais esforços, as empresas ainda lidam com o desconhecido.

Nunca se pode ter certeza da identidade do hacker ético“, disse ele. “Pode ser um black hat ou um concorrente. Expor o aplicativo pode, eventualmente, dar ao black hat a oportunidade de encontrar uma vulnerabilidade obscura, não relatá-lo na esperança de que ninguém mais o identifique e use-o mais tarde.” ganhos ilícitos.

Um Black Hat poderia potencialmente obter informações suficientes sobre estruturas de aplicativos que eles poderiam usar essa informação para desenvolver um vetor de ataque para explorar sistemas de ganhos ilícitos.

Segundo o site Information Management da Source Media, em sua conferência RegTech 2018 em Nova York, os participantes de painéis em uma discussão de segurança de crowdsourcing foram positivos sobre os benefícios dos programas de recompensas de bugs – mas houve ressalvas.

Você está lidando com uma comunidade cujo único propósito é pressionar e dobrar as regras o máximo que puder“, disse à platéia Nick Selby, diretor de ciberinteligência e investigações do Departamento de Polícia de Nova York. “A maioria das pessoas que fazem isso é motivada a se estabelecer, fazer algo de bom e ganhar algum dinheiro“, acrescentou.

Amit Elazari, professor de cibersegurança da Universidade da Califórnia, em Berkeley, disse que as empresas de serviços financeiros devem ter uma orientação clara que detalha o que os pesquisadores podem e não podem fazer em um programa de recompensas de bugs.

Quando vejo uma recompensa de bug sem escopo técnico, isso me indica que você não fez a devida diligência”, disse ela. “É uma forma de negligência. Eu acho que os pesquisadores fornecem um valor incrível, mas certifique-se de que as regras do jogo são aplicadas.

Selby compartilhou uma anedota para ilustrar o ponto.

Um hacker entrou em contato com ele e sua equipe e disse que havia uma vulnerabilidade desprotegida em um sistema de computador, e o hacker queria dinheiro para fazer a descoberta. Selby agradeceu ao hacker e disse que estava fora do escopo do trabalho, e o hacker simplesmente foi embora.

É muito difícil“, disse Selby, “encontrar a linha tênue entre a generosidade dos bugs e a extorsão“.

 

Diretriz para o teste do JP Morgan

Em seu site o Chase divulga detalhes do programa de recompensas “JPMorgan Chase Responsible Disclosure Program” e detalhas as seguintes diretrizes:

O JPMorgan Chase concorda em não prosseguir com as reclamações contra pesquisadores que revelam potenciais vulnerabilidades a este programa, onde o pesquisador:

  • Não causa danos ao JPMorgan Chase, nossos clientes ou outros;
  • Não inicia uma transação financeira fraudulenta;
  • Não armazena, compartilha, compromete ou destrói os dados do JPMorgan Chase ou do cliente;
  • Fornece um resumo detalhado da vulnerabilidade, incluindo o alvo, etapas, ferramentas e artefatos usados ​​durante a descoberta (o resumo detalhado nos permitirá reproduzir a vulnerabilidade);
  • Não compromete a privacidade ou segurança de nossos clientes e a operação de nossos serviços;
  • Não viola nenhuma lei ou regulamento nacional, estadual ou local;
  • Não divulga publicamente detalhes da vulnerabilidade sem a permissão por escrito do JPMorgan Chase;
  • Atualmente não está localizado em ou habitualmente em Cuba, no Irã, na Coréia do Norte, no Sudão, na Síria ou na Crimeia;
  • Não consta da lista de nacionais especialmente designados do Departamento do Tesouro dos EUA;
  • Não é funcionário ou membro imediato da família de um funcionário do JPMorgan Chase ou de suas subsidiárias;
  • Tem pelo menos 18 anos de idade.

Vulnerabilidades fora do escopo

Determinadas vulnerabilidades são consideradas fora do escopo do nosso Programa de Divulgação Responsável. Vulnerabilidades fora do escopo incluem:

  • Vulnerabilidades dependentes de técnicas de engenharia social (por exemplo, ataque de ombro, dispositivos de roubo, phishing, fraude, credenciais roubadas);
  • Cabeçalho do Host Negação de serviço (DOS);
  • Auto-XSS (carga útil definida pelo usuário);
  • Login / logout CSRF;
  • Falsificação de conteúdo sem links incorporados / HTML;
  • Vulnerabilidades que requerem um dispositivo móvel desbloqueado;
  • Vulnerabilidades de infraestrutura, incluindo:
    • Problemas relacionados a Certificados / TLS / SSL;
    • Problemas de DNS (por exemplo, registros mx, registros SPF, etc.);
    • Problemas de configuração do servidor (por exemplo, portas abertas, TLS, etc.);
  • Vulnerabilidades que já estejam em nossos ambientes de sandbox, laboratório ou armazenamento temporário;
  • Qualquer tentativa física contra a propriedade ou data centers do JPMorgan Chase;
  • Clickjacking;
  • Conteúdo spoofing / injeção de texto;

O JP Morgan afirma que processará cada relatório e poderá contatá-lo, se mais informações forem necessárias para você. Também solicita que mantenha toda a comunicação sobre a vulnerabilidade confidencial.

 

Fonte: Information Management da Source Media & JPMorgan Chase Responsible Disclosure Program

 

Veja também:

 

 

Sobre mindsecblog 1781 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!