Questa estate, Zendesk ha identificato una vulnerabilità attraverso il nostro programma di ricompense dei bug che abbiamo risolto con un ricercatore. Non abbiamo prove che questa vulnerabilità sia stata sfruttata da un malintenzionato. Poiché il ricercatore ha condiviso in un post pubblico, il problema specifico che ha presentato è stato risolto, è importante fornire chiarezza su ciò che è successo. Questa vulnerabilità della “catena di approvvigionamento”, un tipo di vulnerabilità in cui i malintenzionati possono potenzialmente tentare di sfruttare i sistemi interconnessi per violare le organizzazioni, riflette il tipo di rischi per la sicurezza affrontati da molte aziende a causa del modo in cui i moderni strumenti aziendali sono collegati.

Sebbene questo problema specifico sia stato risolto, per proteggersi ulteriormente da tentativi di sfruttamento simili e iterativi, consigliamo alle aziende di implementare le best practice in materia di verifica degli utenti, inclusa la verifica in due passaggi di utenti/identità e sottodomini per le email di assistenza (ad es. contatto@assistenza. example.com) e garantire che i sistemi di terzi che gestiscono informazioni sensibili siano adeguatamente protetti.

Vogliamo anche affrontare il programma Bug Bounty associato a questo caso. Sebbene il ricercatore abbia inizialmente segnalato la vulnerabilità attraverso la nostra procedura stabilita, ha violato i principi etici chiave contattando direttamente le terze parti in merito alla segnalazione prima della soluzione. Ciò violava i termini di servizio relativi ai bug, che sono standard del settore e hanno lo scopo di proteggere la community di White Hat, supportando al contempo la divulgazione responsabile. Questa violazione della fiducia ha comportato la perdita del premio, in quanto manteniamo standard rigorosi per la divulgazione responsabile.