– Før vi hadde bug bounty-programmet, fant vi via pentestere kanskje 15 sårbarheter i året. Første året med bug bounty-program fikk vi over 150 gyldige funn – mye gammel moro som ikke ble funnet gjennom tidligere pentesting.
Det sier Emil Vaagland, IT-sikkerhetssjef i Finn.no, til kode24. På Sikkerhetsfestivalen på Lillehammer denne uken fortalte han om hvordan det har gått siden de startet programmet i 2019 – og fra kode24 skrev om bug bounty-programmet for et par år siden.
FINN.no betaler folk for å finne feil: - Vi blir angrepet nesten hele tiden
Programmet gjør at de som klarer å finne sårbarheter i Finns løsninger kan få utbetalt en "finnerlønn" eller dusør.
– Vi startet med å betale ut fra 100 til 3.000 dollar, avhengig av hvor kritisk funnet er. Nå har vi økt maksgrensen til 6.000 dollar, forteller Vaagland.
Tetter hull raskere enn før
Han mener Norge henger etter, og at alle selskaper som ikke har det fra før snarest bør etablere sitt eget bug bounty-program.
– Det er ingen grunn til å ikke ha det. For oss har det vært en suksess, og helt nødvendig for å finne sårbarheter, sier Vaagland
Finn har mer enn 200 utviklere i 35 team som ruller ut kode til produksjon mer enn 2.000 ganger i uken. Med rundt 1.100 applikasjoner er angrepsflaten stor, og Finn fokuserer derfor mye på sikkerhetsarbeid.
Vaagland forteller at de bruker mange forskjellige kilder og verktøy for å finne sårbarheter, blant annet GitHubs CodeQL og ulike skannere og sikkerhetsverktøy som Detectify. I tillegg gjøres med jevne mellomrom pentesting (penetrasjonstesting) for å prøve å avdekke sikkerhetshull.
Det er imidlertid bug bounties som nå er desidert viktigst for å avsløre sårbarheter i Finns løsninger og plattformer.
Totalt har Finn nå funnet og fikset mer enn 360 sårbarheter, og de finner sårbarhetene mye raskere enn før.
– Men etter 2021 har antallet funn gått ned, sier Vaagland.
Han mener nedgangen er en indikasjon på at de har blitt flinkere, og at de har fått fikset de mest alvorlige feilene.
– Når utviklerne følger med på dette, så lærer de også – de ser hva som er vanlige feil.
«Hadde vi ikke hatt bug bounty-programmet, hadde vi ikke funnet halvparten, engang.»
20 kritiske feil på fem år
– Har du eksempler på alvorlige sårbarheter som har blitt funnet?
– Av kritiske ting så klarte noen å lure vår lastbalanserer slik at de kunne sende requester til interne hoster i vår plattform. Der fant vi en gammel upatchet Solr-søkeinstans som kunne utnyttes til å få "remote code execution".
Ellers er Finn ekstra oppmerksom på bugs som kan utnyttes til å svindle Finn-brukere, for eksempel sårbarheter som gjør det mulig for noen å ta over kontoen til andre brukere.
Funnene som blir gjort varierer fra mindre alvorlige feil til kritiske. Brorparten er av middels alvorlighetsgrad.
– Det har vært 20 kritiske feil på fem år. Hadde vi ikke hatt bug bounty-programmet, hadde vi ikke funnet halvparten, engang. Vi finner mer, og mer forskjellig enn vi gjorde før.
De fleste av feilene er imidlertid ikke relatert til applikasjonskode.
– Ut fra de 20 kritiske vi har hatt, er bare fem relatert til applikasjonskode. Resten har vært relatert til infrastrukturendringer, og styrt av infrastruktur-teamet og ikke utviklerne selv.
Dusørjegeren Dimitrije er ikke fan av automatiserte verktøy: - Jeg bruker MacOS, Burp Suite og hjernen min
Security.txt ikke effektivt
Mange sikkerhetsfolk snakker ofte om security.txt, som er en tekstfil med standardisert informasjon som kontaktinfo, krypteringsnøkkel for kommunikasjon og sikkerhetsretningslinjer.
Vaagland mener imidlertid at security.txt ikke har hatt noen særlig effekt.
Finn.no har brukt security.txt i fem år, men i løpet av disse årene har de bare fått rapportert inn 1-2 funn via dette. 99 prosent av det som kommer inn er spam, ifølge Vaagland.
– Vår erfaring er at vi får veldig få funn fra den. Mens bug bounty gir en masse!
Han anbefaler de som vil begynne med bug bounties å teste ut en av de mange ferdige bug bounty-plattformene der ute. Disse håndterer blant annet utbetaling av belønninger til de som finner sårbarheter.
– Jeg tror alle kommer til å finne ting man ikke visste om fra før.