Chương trình Cybozu Bug Bounty
Chương trình Cybozu Bug Bounty được tổ chức với mục tiêu là phát hiện và sửa chữa những lổ hỗng bảo mật sớm nhất có thể trong các sản phẩm và dịch vụ được cung cấp bởi Cybozu, Inc. Tiền thưởng sẽ được chi trả cho những lổ hỗng bảo mật được báo cáo trong những sản phẩm mục tiêu của Cybozu. Và Cybozu cũng cung cấp một môi trường riêng cho mỗi người tham gia có thể thoải mái thực hiện kiểm tra xâm nhập mà không phải lo lắng nó có ảnh hưởng đến các sản phẩm đang hoạt động hay không.
(Xem thêm thông tin trong bài viết Giới thiệu về chương trình Cybozu Bug Bounty [1])
Về chương trình Cybozu Bug Bounty từ năm 2019 đến 2022
Hãy cùng điểm qua một số dữ liệu quan trọng về Chương trình Cybozu Bug Bounty từ năm 2019 đến 2022:
| Năm | Tổng số báo cáo nhận được | Số lổ hỗng bảo mật được công nhận | Tỉ lệ | Số tiền đã chi trả |
|---|---|---|---|---|
| 2022 | 70 | 13 | 19% | 1,260,000 YEN |
| 2021 | 49 | 8 | 16% | 885,000 YEN |
| 2020 | 131 | 40 | 31% | 2,520,000 YEN |
| 2019 | 489 | 193 | 40% | 15,348,000 YEN |
Năm 2021 so với những năm 2020 và 2019 thì số lượng báo cáo có xu hướng giảm. Đặc biệt là trong năm 2021 này có sự thay đổi mạnh trong hệ thống tính điểm (Point ranking [2]). Một cá nhân thu thập được nhiều point nhất đã đạt được tổng cộng 560pt và cũng dành được nhiều tiền thưởng nhất trong năm 2021.
Năm 2020 là năm có tổng số báo cáo nhận được cao hơn so với năm 2021 và 2022, bên cạnh đó tỉ lệ báo cáo được công nhận là lổ hỗng bảo mật cũng xấp xỉ gấp đôi.
Năm 2019 là năm có tổng số báo cáo tăng cao, trong năm này cũng là lần đầu tiên Cybozu tổ chức chương trình Bug Camp.
Về báo cáo chi tiết cho từng sản phẩm trong chương trình Cybozu Bug Bounty (năm 2021)
| Sản phẩm | Tổng số báo cáo nhận được | Số lỗ hổng bảo mật được công nhận |
|---|---|---|
| Office | 10 | 4 |
| Garoon | 9 | 1 |
| kintone | 7 | 2 |
| Operation Infrastructure | 2 | 0 |
| User & System Administration | 2 | 0 |
| Mailwise | 1 | 1 |
| Homepage | 18 | 0 |
Dưới đây là bảng xếp hạng các loại CWE (Common Weakness Enumeration) được báo cáo trong năm 2021:
| Hạng | Loại CWE |
|---|---|
| 1 | CWE-264: Permissions, Privileges, and Access Controls |
| 2 | CWE-Other |
| 3 | CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') |
| 4 | CWE-200: Exposure of Sensitive Information to an Unauthorized Actor |
| 5 | CWE-399: Resource Management Errors |
Về báo cáo chi tiết cho từng sản phẩm trong chương trình Cybozu Bug Bounty (năm 2022)
| Sản phẩm | Tổng số báo cáo nhận được | Số lỗ hổng bảo mật được công nhận |
|---|---|---|
| Office | 15 | 5 |
| Garoon | 13 | 7 |
| User & System Administration | 7 | 0 |
| kintone | 6 | 0 |
| Cybozu KUNAI | 6 | 1 |
| kintone mobile | 2 | 0 |
| cybozu.com Operation Infrastructure | 1 | 0 |
| Mailwise | 1 | 0 |
| Mailwise mobile | 1 | 0 |
| Khác | 18 | 0 |
Các lổ hỗng bảo mật được báo cáo tập trung trên 2 sản phẩm Garoon và Office, đồng thời Cybozu cũng nhận được các báo cáo trên nhiều sản phẩm khác.
Dưới đây là bảng tổng hợp các loại CWE (Common Weakness Enumeration) đã nhận được trong năm 2022:
| Loại CWE | Tổng số báo cáo nhận được |
|---|---|
| CWE-284: Improper access control | 8 |
| CWE-285: Improper Authorization | 4 |
| CWE-16: Configuration | 1 |
Về chương trình Cybozu Bug Bounty từ năm 2023 đến nay
Chương trình Cybozu Bug Bounty đã trở thành một phần quan trọng trong chiến lược bảo mật của Cybozu. Từ năm 2023 đến nay, Cybozu đã không ngừng cải tiến và mở rộng chương trình này để đảm bảo an toàn cho các sản phẩm của mình, bao gồm cả kintone, Garoon và Cybozu Office.
Ngoài ra, từ năm 2023, chế độ trong chương trình Bug Bounty của Cybozu đã có một số sự thay đổi.
Từ ngày 21/04/2023, chương trình đã được tổ chức với hình thức xuyên suốt qua các năm, không còn đi kèm với các khoảng thời gian nghỉ như các năm trước đây nữa nên việc tham gia cũng trở nên dễ dàng và tiện lợi hơn.
Vui lòng truy cập vào link dưới đây để biết thêm thông tin về sự thay đổi của chương trình từ năm 2023:
Chế độ Bug Bounty xuyên năm & Nhìn lại năm 2022 - Cybozu Inside Out | Cybozu Engineers Blog [3]
Trong giai đoạn này, Cybozu đã hợp tác chặt chẽ với cộng đồng các chuyên gia bảo mật trên toàn thế giới, khuyến khích họ tìm kiếm và báo cáo các lỗ hổng bảo mật tiềm ẩn. Những nỗ lực này đã mang lại nhiều kết quả đáng kể, giúp Cybozu phát hiện và khắc phục kịp thời nhiều lỗ hổng nghiêm trọng trước khi chúng có thể bị khai thác.
Nhờ vào sự nỗ lực không ngừng và tinh thần hợp tác, chương trình Cybozu Bug Bounty đã góp phần quan trọng trong việc nâng cao chất lượng bảo mật cho các sản phẩm Cybozu, đồng thời xây dựng một cộng đồng bảo mật mạnh mẽ và đáng tin cậy.
Lời cảm ơn
Cybozu muốn gửi lời cảm ơn chân thành đến sự hợp tác của các reporters trong việc giúp đỡ cải thiện chất lượng sản phẩm của Cybozu về mặt security thông qua chương trình Cybozu Bug Bounty.
Tài liệu/Link tham khảo:
[1] https://tech.cybozu.vn/gioi-thieu-ve-chuong-trinh-cybozu-bug-bounty-404d2/
[2] https://github.com/cybozu/bugbounty/blob/master/rulebook/en/rulebook.md#7-points
[3] Chế độ Bug Bounty xuyên năm & Nhìn lại năm 2022 - Cybozu Inside Out | Cybozu Engineers Blog
[4] Nhìn lại chế độ Bug Bounty năm 2021 - Cybozu Inside Out | Cybozu Engineers Blog
[5] Nhìn lại chế độ Bug Bounty năm 2020 - Cybozu Inside Out | Cybozu Engineers Blog
[6] Nhìn lại chế độ Bug Bounty năm 2019 - Cybozu Inside Out | Cybozu Engineers Blog