Como o programa HackerOne Bug Bounty da Grammarly reduz vulnerabilidades e riscos de segurança

Publicados: 2020-09-15

Na Grammarly, consideramos a segurança nosso primeiro e mais fundamental recurso de produto. Está no cerne de como operamos como empresa e como desenvolvemos nosso produto. Parte disso é manter proteções internas, desde controles de operações e um programa Security Champions até o monitoramento constante de aplicações por nossa equipe especializada de segurança. E com o objetivo de validar a confiança de mais de 20 milhões de pessoas e 10.000 equipas que servimos todos os dias, também acreditamos que é vital ir mais longe – e investir em avaliações de risco de alto nível provenientes de fontes externas.

É por isso que administramos um programa de recompensas por bugs com o HackerOne, uma plataforma de segurança líder que reúne hackers éticos para avaliar problemas de segurança cibernética de todos os tipos. Desde o lançamento do nosso programa público em 2018, obtivemos grande sucesso na nossa capacidade de reduzir o risco de incidentes de segurança. Com acesso a um conjunto global de pesquisadores de segurança talentosos, podemos diagnosticar vulnerabilidades antes que elas possam ser identificadas por agentes mal-intencionados para serem exploradas.

Apoiando a segurança Grammarly por meio de um programa de recompensas de bugs

Um programa de recompensa por bugs convida hackers éticos a detectar vulnerabilidades de software e relatá-las diretamente à empresa para correção. Pesquisadores de segurança estudam o produto, compilam relatórios sobre bugs detectados e recebem recompensas monetárias de acordo com a criticidade do problema. Eles seguem diretrizes rígidas para pesquisas éticas de segurança que apoiam os fornecedores de software na correção rápida de possíveis ameaças.

Grammarly se esforça para explorar todos os caminhos possíveis para garantir a segurança do produto no mais alto nível. Selecionamos o HackerO ne como nossa plataforma de parceria para um programa de recompensas de bugs porque é uma das maiores plataformas focada em hacking ético e hospeda uma comunidade talentosa e respeitada com formidável conhecimento em segurança cibernética. Com mais de 300.000 hackers vermelhos registrados, a plataforma permite dimensionar um programa global de observação de vulnerabilidades 24 horas por dia. Algumas das maiores e mais notáveis ​​empresas de tecnologia do mundo também fizeram parceria com a HackerOne.

Mantendo sua escrita segura no Grammarly.
Mantemos a segurança no centro de nossos produtos, infraestrutura e políticas da empresa.

Configurando um programa de sucesso

Para lançar nosso programa público de recompensas por bugs HackerOne, a equipe de segurança da Grammarly coordenou com equipes de toda a organização de engenharia para criar um conjunto claro e detalhado de regras que descrevem como a empresa pode trabalhar de forma produtiva com hackers. Isso inclui especificações sobre quais vulnerabilidades são mais cruciais para a comunidade HackerOne se concentrar, juntamente com requisitos para envio de relatórios e recompensas. Você pode ver as regras e diretrizes que esclarecem o escopo e o foco na página do programa HackerOne .

Para ter um programa forte de recompensas por bugs, nos envolvemos ativamente com a comunidade. Aqui estão alguns princípios que a equipe do Grammarly mantém em mente:

  1. Mantemos uma comunicação consistente:é essencial responder aos hackers e perguntar-lhes sobre o seu trabalho. Embora a equipe do HackerOne faça pré-testes dos relatórios, também analisamos as opções rejeitadas para ter certeza de que estamos analisando todos os comentários que podem ser úteis para fortalecer nossa postura de segurança.
  2. Reagimos rapidamente:a velocidade é essencial. Na Grammarly, temos orgulho de manter uma pontuação extremamente alta em eficiência de resposta – perto de 100%. É vital que respeitemos o trabalho dos pesquisadores, muitos dos quais estão fazendo o trabalho por causa do cuidado com nosso produto e do interesse em promover software seguro.
  3. Fornecemos motivação além da remuneração padrão:Grammarly garante bônus monetários aos pesquisadores que enviam relatórios de qualidade – mesmo que ainda não tenham encontrado vulnerabilidades críticas – para que esses pesquisadores permaneçam engajados. Também oferecemos bônus para pesquisadores de segurança que não estão apenas procurando bugs individuais, mas também construindo cenários de ataque complexos que consistem em diversas vulnerabilidades. Queremos encorajar análises complexas.

Garantindo uma correção rápida

Nosso programa de recompensas por bugs HackerOne nos ajuda a fornecer um produto seguro e protegido para todos os nossos usuários e clientes. Fundamental para atingir esse objetivo é garantir que nossa equipe responda prontamente aos relatórios dos pesquisadores de segurança e, em seguida, trabalhe com equipes de nossa organização de engenharia para remediar o mais rápido possível.

Para garantir que estamos fazendo isso, Grammarly mantém um processo oficial e estruturado para resolver rapidamente quaisquer vulnerabilidades. Nossa equipe de segurança gerencia todos os relatórios recebidos, direciona o relatório para a equipe necessária e colabora com engenheiros para fornecer informações necessárias e gerenciamento de projetos para resolver problemas.

Assim que resolvermos qualquer vulnerabilidade potencial, os engenheiros da Grammarly precisarão ser capazes de entregar a correção a todos os usuários e clientes imediatamente. É por isso que mantemos mecanismos de atualização consistentes que levam em consideração todos os requisitos de funcionalidade – para que todos os clientes possam confiar que sempre terão a versão mais atualizada e segura de nossas ofertas de produtos.

Aproveitando o sucesso da recompensa de bugs

Desde o lançamento em 2018 de nosso programa público de recompensas por bugs no HackerOne, Grammarly tem visto um comprometimento extraordinário da comunidade de pesquisadores de segurança. Até o momento, resolvemos quase 150 relatórios e pagamos mais de US$ 100 mil a 127 pesquisadores. As estatísticas são coletadas continuamente na página do programa HackerOne .

E continuamos sempre a desenvolver o programa para focar em novos recursos e desenvolvimento de produtos. Adicionamos bônus e outros incentivos para garantir que os pesquisadores de segurança prestem atenção ao que é mais importante para os clientes do Grammarly. À medida que continuamos a desenvolver nosso assistente de redação para apoiar a comunicação eficaz em todos os lugares onde as pessoas trabalham, estamos constantemente nos envolvendo com a comunidade HackerOne para fazer com que os principais pesquisadores de segurança forneçam um exame minucioso essencial em nível de especialista.

Grammarly acredita fortemente neste programa. Facilita nosso acesso aos melhores recursos para mitigar vulnerabilidades e afastar possíveis invasores. Milhões usam Grammarly todos os dias – e cada usuário deve poder confiar que o software é o mais seguro e protegido possível. O programa de recompensas de bugs HackerOne da Grammarly nos apoia nessa empreitada.

Saiba mais sobre operações, políticas, práticas e atestados de segurança Grammarly aqui .