Разработчик обнаружил уязвимость в Zendesk, позволяющую видеть чужие тикеты, но не получил за это вознаграждение.

Главное:

• Разработчик обнаружил уязвимость в Zendesk, которая позволяла получать доступ к чужим тикетам службы поддержки.
• Компания Zendesk отказалась выплатить вознаграждение за обнаружение ошибки, сославшись на отсутствие её признания в программе вознаграждений.
• Спустя два года после обнаружения уязвимости, ошибка была исправлена, но вознаграждение всё равно не было выплачено разработчику.

Уязвимость в Zendesk: критическая проблема безопасности

Недавно 15-летний разработчик стал известен благодаря выявленной уязвимости в системе Zendesk, которая предоставляет решения для обслуживания клиентов. Проблема позволяла злоумышленникам просматривать конфиденциальные тикеты, что создаёт угрозу для множества компаний, включая почти половину списка Fortune 500. Такой масштаб проблемы не может быть проигнорирован. Интересно, что в исследованиях по кибербезопасности отмечается, что недостаточная защита электронных адресов — одна из самых распространённых причин утечек данных.

Отказ в вознаграждении: абсурдная ситуация

Когда разработчик сообщил о выявленной уязвимости через платформу HackerOne, представители Zendesk отреагировали не так, как ожидается: они отказались признать проблему и выплатить вознаграждение, даже несмотря на то, что уязвимость могла привести к серьезным последствиям. Поведение компании вызывает вопросы, учитывая, что глобальный рынок информационной безопасности отмечает растущий интерес к программам Bug Bounty. По данным отчета HackerOne за 2023 год, компании, инвестирующие в подобные программы, видят значительное снижение количества инцидентов безопасности. Тем не менее, Zendesk проигнорировала это направление емкого бизнеса.

Общие выводы и уроки

Несмотря на неоднократные обращения к компании с просьбой исправить уязвимость и признать её серьезность, разработчик столкнулся с жестким отказом и игнорированием. Интересный факт: статистика показывает, что более 90% всех утечек данных происходит из-за человеческого фактора. В этом контексте очень важно, чтобы компании принимали информацию о найденных уязвимостях всерьёз и действовали быстро. К сожалению, таких случаев становится всё больше, и они могут негативно сказаться на репутации, что, в свою очередь, приводит к потерям для бизнеса.

Каждый из нас, как потребителей услуг, должен задуматься о том, насколько безопасно наши данные и личные тикеты, находящиеся в такой системе, как Zendesk. Как вы относитесь к ситуации с разработчиком и ответам компании на её действия? Ваша точка зрения может быть весьма ценной!