Les hackers éthiques ukrainiens sont déconcertés alors que la plate-forme HackerOne Bug Bounty a annoncé l’arrêt de leurs paiements

Au milieu des perturbations en cours en provenance de Russie, certains hackers éthiques en Ukraine se sentent perdus car la plateforme de primes aux bogues HackerOne aurait retenu leurs paiements. La perte due à l’arrêt soudain aurait atteint des centaines et des milliers de dollars. Quelques-uns des pirates éthiques concernés – également connus sous le nom de chercheurs en cybersécurité – ont porté le problème sur les réseaux sociaux. Certains d’entre eux ont également écrit à la plateforme pour obtenir des éclaircissements sur les raisons exactes pour lesquelles elle a désactivé leurs paiements au milieu de la catastrophe humanitaire dans le pays.

Les pirates éthiques gagnent normalement des gains allant de dizaines et de centaines à plus de millions de dollars sous forme de récompenses via des plateformes de primes de bogues pour avoir signalé des failles dans diverses solutions basées sur Internet. Cependant, HackerOne aurait soudainement arrêté les paiements pour certains pirates informatiques ukrainiens.

Plus tôt ce mois-ci, le PDG de HackerOne, Marten Mickos, avait annoncé« [A]Comme nous nous efforçons de respecter les nouvelles sanctions, nous retirerons tous les programmes destinés aux clients basés en Russie, en Biélorussie et dans les zones occupées d’Ukraine. » Lundi, il clarifié que les restrictions concernaient les régions sanctionnées – la Russie et la Biélorussie, sans mentionner de détails clairs sur le statut de l’Ukraine.

« C’est une situation vraiment étrange », a déclaré le chercheur indépendant en sécurité Bob Diachenko, qui est associé à la plate-forme basée à San Francisco, en Californie, depuis deux à trois ans maintenant.

Le chercheur en sécurité a tweeté dimanche que HackerOne avait cessé de payer des primes d’une valeur d’environ 3 000 $ (environ 2 30 000 roupies) pour les failles qu’il avait signalées.

En plus d’arrêter les paiements, HackerOne a supprimé son statut « Effacer » de tous les comptes ukrainiens. Le statut permet essentiellement pirates éthiques à participer à des programmes privés gérés par diverses entreprises pour gagner un minimum de 2 000 $ (environ 1,53 100 roupies) pour une vulnérabilité très grave ou 5 000 $ (environ 3 82 800 roupies) pour une vulnérabilité critique. Il nécessite une vérification des antécédents des chercheurs pour participer aux programmes répertoriés.

« HackerOne était la principale source de revenus pour moi et pour de nombreux autres chercheurs », a déclaré Nick Mykhailyshyn, chercheur indépendant en sécurité. « Arrêter les paiements même pendant quelques semaines peut mettre de nombreuses personnes en danger. »

Mykhailyshyn a écrit à l’équipe d’assistance de HackerOne pour savoir si ses paiements avaient été bloqués par erreur et si le statut « Effacer » avait été accidentellement supprimé. Il a partagé une capture d’écran avec thebuzzly où l’équipe est vue en train de répondre en disant que la société « explorait les options disponibles pour rétablir une mise à jour de la vérification des antécédents et vous réinitier à Clear, en attendant les résultats mis à jour ».

La réponse a également noté: « Nous reconnaissons que cela est extrêmement frustrant pour vous et nous travaillons avec diligence pour résoudre et garantir que nous respectons les sanctions économiques américaines et les contrôles à l’exportation. »

Un autre hacker, Vladimir Metnew, partagé une capture d’écran d’un e-mail d’assistance HackerOne qui lui a été envoyé, indiquant que toutes les communications et transactions ont été interrompues pour ceux basés en Ukraine, en Russie et en Biélorussie.

Au moment d’annoncer les restrictions initiales plus tôt ce mois-ci, HackerOne a annoncé un don de 25 000 $ (environ 19,14 300 roupies) au Fonds des Nations Unies pour l’enfance (UNICEF) et prévoyait de faire correspondre les dons dollar pour dollar jusqu’à 100 000 $ (environ 76 roupies). , 57 300) pour les trois prochains mois pour soutenir les habitants de l’Ukraine touchée par la guerre.

Lundi, le PDG de HackerOne, Mickos, a également déclaré que la société soumettait les pirates à un contrôle supplémentaire basé sur des règles de sanction.

« Les sanctions sont formulées pour couvrir de vastes domaines de la finance et des affaires. Ils n’ont pas été écrits avec le piratage éthique à l’esprit. Ils sont également mis à jour souvent. L’interprétation des sanctions est compliquée. Nous avons des experts internes et externes qui y travaillent », Mickos mentionnéajoutant qu’il s’est excusé pour le retard et les désagréments causés aux pirates sur la plateforme.

L’exécutif, cependant, n’a pas précisé si les paiements gagnés par les chercheurs ukrainiens avaient été intentionnellement désactivés.

thebuzzly a contacté HackerOne pour un commentaire sur la question, et son Chief Hacking Officer et CISO Chris Evans a reconnu les retards de paiement de certains hackers ukrainiens.

« Au nom de tout le monde chez HackerOne, je suis vraiment désolé pour la façon dont notre mauvaise communication a causé de la confusion et un stress excessif pour la communauté des hackers ukrainiens », a déclaré Evans dans un communiqué préparé. « Nous n’avons pas bloqué et ne bloquerons pas les paiements légaux aux pirates ukrainiens. Nous soutenons activement la lutte de l’Ukraine pour la liberté. Il y a eu des retards dans les systèmes de paiement backend pour certains pirates ukrainiens. Cette situation a ensuite été naturellement confondue avec des communications généralement inexactes avec les pirates. Nos équipes travaillent pour minimiser ces retards. »

Le CISO a également réitéré que HackerOne ne faisait pas automatiquement don de primes à l’UNICEF ou à toute autre organisation caritative. « Nous donnons les récompenses des pirates à des œuvres caritatives uniquement sur leurs instructions », a-t-il déclaré.

Cependant, la déclaration d’Evans partagée par HackerOne ne donne aucune clarté sur la suppression soudaine du statut « Clear » pour les chercheurs ukrainiens.

Sur la façon dont il aborde la révocation du statut « Clear » pour les chercheurs ukrainiens, HackerOne a redirigé thebuzzly vers un FAQ cela indique que le Chief Hacking Officer tend la main pour résoudre le problème et accélérer la vérification des antécédents pour le statut.

« Nos 15 hackers ukrainiens avec le statut Cleared ont reçu une communication mal formulée concernant un filtrage supplémentaire des antécédents », a noté la page FAQ.

HackerOne est l’une des plateformes de primes de bugs les plus populaires parmi les pirates éthiques du monde entier. Il a plus un million de hackers enregistrés à bord qui a reçu un total de 40 millions de dollars (environ Rs. 306 crore) rien qu’en 2020, selon le rapport interne de l’entreprise.