Reddit lance un programme de bug bounty public avec HackerOne

Par:
fredericmazue

jeu, 15/04/2021 - 12:19

Après avoir mené un programme de bug bounty privé pendant trois ans, le célèbre site communautaire d’actualités sociales Reddit annonce l’ouverture publique de sa chasse aux bugs via la plateforme mondiale de sécurité collaborative HackerOne.

A mesure que le réseau social se développe, recruter de nouveaux hackers éthiques aux talents complémentaires et étendre le périmètre de surveillance est devenu crucial pour garantir une protection optimale de la plateforme et de l’ensemble des membres de sa communauté.  

Le lancement de ce programme de bug bounty public veut témoigner de la maturité des équipes de sécurité de Reddit, qui s’ouvrent à de nouvelles approches collaboratives de la sécurité pour réduire la surface d’attaque. En s’appuyant sur les chercheurs de la communauté HackerOne, Reddit libère ses cycles d'ingénierie pour se consacrer à d'autres projets stratégiques.

Par les vulnérabilités qu’ils remontent (principalement XSS, business logic et mauvaise configuration cloud), les hackers éthiques aident Reddit à mettre en place les meilleurs garde-fous pour les développeurs et à investir dans des capacités de détection précoce pour aider à maîtriser ces failles avant qu’elles n’atteignent la production. A ce jour, plus de 300 rapports de vulnérabilités ont été remontés pour plus de 140,000$ de primes.

Vous trouverez plus d’informations sur l’approche bug bounty de Reddit dans ce billet du blog HackerOne.