Resumo:
- O Spotify atua com o HackerOne, plataforma de recompensa por bugs, por meio da qual hackers podem enviar relatórios ao aplicativo de streaming de áudio sobre vulnerabilidades;
- Até o momento, o Spotify pagou US$ 120 mil em recompensas por mais de 365 relatórios válidos e acionáveis, viabilizados pela parceria;
- A política ajuda a manter a segurança da plataforma em dia.
A plataforma de streaming de áudio Spotify tem 232 milhões de usuários mensais ativos, mais de 50 milhões de trilhas musicais e 450 mil títulos de podcast. Ah, sim, e uma política de “Prioridade 0” no que diz respeito à segurança, que já pagou US$ 120 mil a hackers.
VEJA MAIS: Usuários do Netflix e do Spotify são os mais hackeados
Por que o Spotify paga a hackers para ajudar a manter o app seguro
Antes de firmar uma parceria com a plataforma de recompensas por bugs HackerOne em maio de 2017, o Spotify se fiava em e-mails que iam para uma caixa de “segurança” ou contatos pessoais da equipe de segurança para descobrir vulnerabilidades. Sem surpresa, o aplicativo não recebeu um grande número de relatórios dessa maneira.
Atualmente, os hackers podem enviar relatórios ao Spotify via HackerOne, onde são avaliados quanto a escopo, validade e gravidade. As vulnerabilidades constatadas são encaminhadas para equipe de segurança do Spotify que trabalha com um grupo de desenvolvimento a fim de resolver o problema.
Ao adotar a abordagem de priorizar a confiabilidade e a segurança do site, o Spotify agora tem um tempo médio de resolução de 24 dias, a partir do momento em que uma falha é divulgada até que a correção seja implementada. Após a reparação, o hacker recebe uma recompensa proporcional à gravidade do relatório. A pontuação da gravidade é baseada no Sistema de Pontuação de Vulnerabilidade Comum (CVSS), padrão do setor.
Até o momento, o Spotify pagou US$ 120 mil em recompensas por meio da plataforma HackerOne, por mais de 365 relatórios válidos e acionáveis. De acordo com a página do Spotify no HackerOne, o pagamento médio de recompensa é de US$ 300, diz Nathan Ferch, gerente de engenharia e segurança de confiabilidade do programa. Em média, são necessários apenas 18 dias para o pesquisador receber o pagamento.
Parceria segura
“O HackerOne traz informações sobre o que motiva os hackers e já trabalhou para programas similares”, diz Ferch, “o Spotify traz seu conhecimento do produto, equipes de engenharia e intuição sobre onde podem estar as vulnerabilidades não descobertas”. O primeiro resultado dessa parceria foi melhorar a qualidade das análises e “solicitar feedback dos nossos remetentes mais frequentes para entender o que os motiva e o que mais podemos oferecer em termos de programa”, revelou o gerente.
VEJA TAMBÉM: Receita do Spotify supera estimativa
A colaboração certamente parece estar funcionando. A não ser quando usuários relataram redefinições de senhas “devido a atividades suspeitas detectadas” em quantidade suficiente para que Zack Whittaker, do “TechCrunch”, investigasse, o programa é conhecido pela ausência nas manchetes de violação de dados. “O Spotify diz que este é um ataque de preenchimento de credenciais, onde os hackers pegam listas de nomes de usuário e senhas de outros sites violados e abrem caminho para outras contas”, Whittaker relatou na época. Portanto, mesmo esta ocorrência foi um sinal de boa postura de segurança, em contrapartida a uma implementação de segurança fraca.
Por pouco
No entanto, quase houve acidentes. O Spotify revelou como foram relatadas uma série de vulnerabilidades de divulgação de informações para um de seus sites “altamente visíveis”, o que significava que “as credenciais dos funcionários do programa, incluindo vários de alto nível, estavam insuficientemente protegidas”. Tais registros não foram usados para outros sistemas, mas senhas de banco de dados, chaves de API, código-fonte e informações confidenciais adicionais puderam ser baixadas de maneira trivial. “Iniciamos uma investigação de proteção, envolvendo nossas equipes de segurança, legal e de privacidade de dados e, após uma averiguação completa, estávamos confiantes de que essa vulnerabilidade não havia sido explorada anteriormente e pudemos soltar um suspiro de alívio coletivo”, disse o Spotify. No final, pagamentos de US$ 3.000 em recompensas foram suficientes para proteger a reputação do programa de ser prejudicada.
Facebook
Twitter
Instagram
YouTube
LinkedIn
Tenha também a Forbes no Google Notícias.