留神漏洞赏金计划导致的数据泄露

错误赏金计划是分层安全方法的有用部分，但利益相关者被敦促在整个披露过程中严格控制其数据处理实践，以避免造成自己的数据泄漏。

在2022年的Black Hat USA上，代表们被告知整个漏洞赏金市场的糟糕的监督和数据治理原则如何导致用户个人身份信息泄露。更重要的是，这些数据通常在相应的工单关闭很久之后仍然可用。

在一次有趣的演讲中，Truffle Security（ TruffleHog背后的公司）首席执行官 Dylan Ayrey 和软件公司 Asana 的数据保护官兼首席隐私顾问 Whitney Merrill 仔细研究了错误赏金披露过程的潜在陷阱 –从研究人员开始。

艾雷引用现实世界的例子表示，虽然许多错误赏金计划禁止研究人员访问用户数据，但这种情况仍然会发生。例如，盲跨站点脚本（XSS）漏洞可能会在管理员端点上触发，从而导致整个用户数据库的转储。

然后，这些用户数据可以被推送到各种第三方存储系统，同时附加到错误赏金计划的问题跟踪器中，所有这些都将成为它们自己的潜在泄漏向量。

如果扩展到数百个程序，这可能会导致大量潜在敏感数据长期存储在不同位置。

不留痕迹
艾雷和梅里尔表示，除了意外的研究发现外，组织和漏洞赏金平台也为泄密打开了大门，因为他们未能要求漏洞搜寻者删除所有相关数据，或者只是在漏洞发布很久之后将敏感信息保留在文件中。错误支持票已关闭。

梅里尔在向那些漏洞赏金计划的主办者提供建议时表示：“我们可能不会达到‘完美’，但我们可以采取渐进的步骤来前进。基本的数据治理原则和数据生命周期最佳实践将帮助您实现这一目标。”

Ayrey 补充道：“漏洞赏金中的这些隐私泄露确实很常见，对于我们可以公开分享的每个示例，都有 100 个无法公开分享的示例。我认为现在是我们开始讨论此事并减少其影响的时候了。