Le gestionnaire de mots de passe 1Password a annoncé avoir augmenté sa prime de bug bounty maximale à 1 million de dollars, l’un des paiements potentiels les plus élevés de l’industrie.

Dans une déclaration publiée aujourd’hui (10 mars), la société basée à Toronto a révélé qu’elle offrait l’énorme incitatif financier, qui est le chiffre le plus élevé actuellement offert par les programmes gérés par Bugcrowd.

Jeff Shiner, PDG de 1Password, a déclaré : « L’augmentation de notre prime de bogue à 1 million de dollars attirera une autre couche d’expertise extérieure pour s’assurer que nos systèmes sont aussi sécurisés que possible.

« Ensemble, nous renforcerons notre leadership en matière de sécurité afin que nos clients puissent vivre leur vie en ligne avec facilité et confiance. »

Paiements précédents

Depuis le début du programme de primes aux bogues en 2017, 1Password a déclaré avoir versé 103 000 $ aux chercheurs en sécurité, soit en moyenne 900 $ par récompense.

La société a déclaré que tous les bugs détectés étaient « mineurs » et ne montraient « aucune menace pour le secret des données sensibles des clients ».

Les chercheurs se voyaient auparavant offrir un paiement maximum de 100 000 $.

Ashish Gupta, PDG de Bugcrowd, a déclaré que la communauté des chercheurs est « particulièrement importante aujourd’hui alors que les pirates deviennent plus avertis avec leurs techniques et que les menaces s’intensifient depuis la Russie ».

Il a ajouté : « 1Password détient notre première place de récompense de bug bounty depuis 2017, et leur nouveau premier prix de 1 million de dollars souligne leur respect pour la valeur que notre communauté offre.

Creuser en profondeur

Adam Caudill, directeur de la sécurité chez 1Password, a déclaré La gorgée quotidienne que la protection des clients est le principal moteur de l’augmentation.

« C’est notre priorité absolue, nous avons donc mis suffisamment d’argent sur la table pour donner aux chercheurs une raison de creuser profondément et de rechercher des problèmes graves », a déclaré Caudill. « S’ils existent, nous voulons le savoir. »

Il a ajouté : « Nous avons examiné non seulement le marché des primes de bogues, mais également le marché de la sécurité offensive et étudié à quoi se vendent les vulnérabilités et les exploits.

« Notre objectif est de fixer cette prime suffisamment haut pour motiver les chercheurs, tout en étant l’acheteur le plus rentable pour les exploits de nos produits. Si un chercheur trouve un problème, nous voulons qu’il vienne vers nous, pas un courtier qui le transmettra à des parties adverses. »

LIS Un bogue de sécurité Coinbase a permis aux utilisateurs de voler un nombre illimité de crypto-monnaies

Caudill a désigné les problèmes de logique comme les découvertes les plus intéressantes, qui « ont tendance à être faciles à négliger dans le développement, la révision et les tests ».

Il a déclaré: «Les problèmes de logique ont tendance à être subtils, mais peuvent être extrêmement puissants, en particulier lorsque vous exploitez des hypothèses erronées du développeur. Les problèmes les plus intéressants ont tendance à ne pas reposer sur une seule erreur importante, mais sur une série de petites erreurs qui se transforment en quelque chose d’intéressant lorsqu’elles sont combinées.

Caudill a ajouté: « Nous avons reçu quelques soumissions plutôt intéressantes, et un seul chercheur a réussi à réclamer près de la moitié de nos paiements totaux à ce jour en recherchant des problèmes comme celui-ci. »

Ce qu’il faut chercher

Il a encouragé les chercheurs à rechercher ces problèmes subtils, et en particulier les problèmes de logique subtils, pour avoir une chance de recevoir la prime d’un million de dollars.

Caudill a déclaré: «Ce sont les plus difficiles à attraper (malgré les meilleurs efforts de chacun) – ce sont ces problèmes qui sont les plus susceptibles de conduire à trouver quelque chose d’intéressant.

« 1Password a développé la réputation d’être l’une des cibles les plus difficiles disponibles, trouver un problème ayant un impact réel sur la sécurité est un véritable défi. »