Social media
Badacz cyberbezpieczeństwa odmówił nagrody za wykrycie błędu Telegrama. Zarzuca apce "opieszałość"
Komunikator Telegram oferujący szyfrowane wiadomości tekstowe, wideo i głosowe załatał kolejną lukę bezpieczeństwa, która została wykryta w 2021 roku. Tym razem dotyczyła znikających wiadomości – popularnej funkcji aplikacji, która pozwala na wysyłanie zdjęć znikających po kilkunastu sekundach, w teorii – bez możliwości ich przechwycenia i zapisu.
Błąd aplikacji Telegram, przez który obrazki mające ulegać samozniszczeniu po wyznaczonym przez użytkowników czasie polegał na tym, że nie były jednak niszczone po wysyłce i można było je odtworzyć.
W lutym tego roku badacz cyberbezpieczeństwa w sieci przedstawiający się jako Dmitrii odkrył lukę, która pozwalała nie tylko na odtworzenie przesyłanych obrazków, ale również wiadomości tekstowych, przesyłanych z funkcją automatycznego kasowania po wyznaczonym przez użytkowników czasie. Wszystkie treści można było bez problemu odtworzyć z wersji cache zapisanej na urządzeniu, na którym działał komunikator – dowiódł ekspert.
Podatność szybko sklasyfikowano, nadając jej kod identyfikacyjny CVE-2021-41861. Telegram jednak na rozwiązanie problemu dał sobie zdecydowanie więcej czasu. Dmitrii ocenia, że zbyt dużo. Kontakt, który nawiązał z administracją komunikatora, miał miejsce na początku marca.
Tymczasem, firma skontaktowała się z nim dopiero we wrześniu, potwierdzając istnienie wykrytej przez eksperta podatności, a także oferując mu kwotę tysiąca euro za zdiagnozowanie błędu.
Dlaczego Dmitrii nie przyjął nagrody?
Wiele firm oferuje nagrody pieniężne w ramach programów bug bounty, pozwalających na społecznościowe ulepszanie oprogramowania przez wykrywanie podatności. Zazwyczaj jednak programy te działają w przedziale czasowym od 60 do 90 dni, w ramach którego firmy deklarują wdrożenie łatek naprawczych, a badacze wykrywający podatności gwarantują swoją dyskrecję.
W umowie, którą w sprawie wynagrodzenia za znalezienie błędu Dmitrii otrzymał od Telegrama, pojawił się zapis zobowiązujący specjalistę do milczenia i nieujawniania szczegółów błędu bez uzyskania pisemnej zgody ze strony firmy. Ekspert zwrócił na to uwagę w korespondencji z firmą, od tego czasu nie dostał jednak od Telegrama żadnej odpowiedzi, a kolejne maile specjalisty były ignorowane. Dmitrii nie otrzymał również obiecanego przez Telegram wynagrodzenia.
Serwis Ars Technica informuje, że w 2019 roku wykryto również inną podatność, bardzo zbliżoną do tej, którą firmie wskazał ekspert. W przypadku tego zgłoszenia badacz cyberbezpieczeństwa dostał jednak nagrodę w wysokości 2,5 tys. euro.
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.