Deutsche Post też chce płacić za błędy

Niemiecki koncern Deutsche Post poinformował, że w październiku uruchomi konkurs, w ramach którego specjaliści ds. bezpieczeństwa będą mogli otrzymać gratyfikację finansową za znalezienie błędów w usłudze E-Postbrief.

E-Postbrief to nowy produkt DP - z deklaracji przedstawicieli koncernu wynika, że będzie to "superbezpieczny system komunikacji elektronicznej", łączący w sobie cechy tradycyjnej poczty oraz e-maila. Firma w materiałach promocyjnych kładzie silny nacisk właśnie na bezpieczeństwo - nic więc dziwnego, że jedną z form promocji usługi będzie konkurs dla hakerów (w tradycyjnym, niepejoratywnym, znaczeniu tego słowa).

Idea Deutsche Post Security Cup jest prosta - w szranki stanąć mogą kilkuosobowe zespoły zawodników. Po zatwierdzeniu przez organizatora listy uczestników rozpocznie się szukanie błędów. Za znalezienie poważnej luki w zabezpieczeniach zespół dostanie 6 tys. euro, zaś za wykrycie mniej poważnego błędu - 1000 euro.

Wszystkie zgłoszenia będą oceniane przez zespół niezależnych ekspertów - w jego składzie znaleźli się m.in. Jennifer Granick (przedstawicielka organizacji Electronic Frontier Foundation - EFF) oraz Thorsten Holz (ekspert ds. bezpieczeństwa, współtwórca projektu Honeynet, którego zadaniem jest gromadzenie informacji o zagrożeniach w Sieci).

Uczestnicy konkursu muszą się zobowiązać, że podczas szukania błędów nie będą próbowali uzyskać dostępu do poufnych danych użytkowników E-Postbrief (teoretycznie nie powinno być to możliwe, ale niewykluczone przecież, że ktoś znajdzie błąd umożliwiający przeglądanie zastrzeżonych informacji). Co więcej - członkowie drużyn nie mają prawa publikować nigdzie informacji o wykrytych błędach. Zrobią to za nich organizatorzy konkursu - po zweryfikowaniu informacji o luce i jej załataniu.

Dodajmy, że program Deutsche Post (koncernu, do którego należy również firma kurierska DHL) nie jest jedyną inicjatywą tego typu. Za znajdowanie błędów w swoich produktach płaci m.in. Mozilla i Google (chodzi o luki w, odpowiednio, Firefoksie i Chrome). Istnieją też niezależne instytucje, które skupują informacje o błędach w popularnych oprogramowaniu - chodzi tu m.in. o firmę TippingPoint, która w ramach projektu Zero Day Initiative oferuje nagrody pieniężne za informacje o lukach.

Idea wszystkich tych projektów jest dość zbliżona - chodzi o sprawienie, by osoba która znajdzie błąd w popularnej aplikacji, "sprzedała" go nie cyberprzestępcom, ale komuś, kto zajmie się załataniem luki.

Więcej informacji o Deutsche Post Security Cup znaleźć można na oficjalnej stronie konkursu.


Zobacz również