دراپ‌باکس هم برای شناسایی مشکلات امنیتی محصولاتش پاداش نقدی می‌دهد

دراپ‌باکس نیز به فهرست رو به رشد شرکت‌هایی پیوست که برای شناسایی مشکلات در بخش‌های پرکاربرد محصولات خودشان آزمایش‌های امنیتی را انجام می‌دهند. در همین رابطه دراپ‌باکس به محققان آزاد امنیتی پاداشی در ازای شناسایی رخنه‌ها در برنامه‌های کاربردی این شرکت پرداخت می‌کند. محبوب‌ترین سرویس ذخیره‌ساز فایل‌ها در جهان اکنون محققان امنیتی را به رسمیت می‌شناسد. Devdatta Akhawe  مهندس امنیت در دراپ‌باکس درباره این برنامه می‌گوید:  «علاوه بر استخدام کارشناسان با تجربه از سرتاسر جهان، برای ما مهم است که از جامعه تحقیقاتی امنیت در این‌باره کمک دریافت کنیم.» گوگل، یاهو، مایکروسافت و دیگر شرکت‌های بزرگ به محققان امنیتی در ازای شناسایی رخنه‌های جدی نرم‌افزاری در محصولاتشان پاداش نقدی ارائه می‌کنند. اجرای چنین برنامه‌هایی اغلب از استخدام بیشتر مهندسان امنیتی مؤثرتر است، از این رو برنامه‌های کاربردی ساخته شده توسط شرکت‌ها از طرف طیف گسترده‌ای از مردم با مهارت‌های گوناگون مورد تجزیه و تحلیل قرار می‌گیرد. برنامه دراپ‌باکس از طریق سایت HackerOne به اجرا درآمده است. شرکتی که یک پلتفرم امن که اطلاعات آسیب‌پذیری امنیتی را مدیریت می‌کند و همچنین برنامه‌هایی در زمینه انتشار اطلاعات و ارائه جوایز را در دستور کار خود قرار داده است، انجام می‌شود.

محدوده
در حال حاضر، برنامه‌های واجد شرایطی که دارپ‌باکس در ازای شناسایی مشکلات امنیتی آن‌ها جوایزی را پرداخت می‌کند، عبارتند از:

 Dropbox and Carousel iOS and Android applications

Dropbox and Carousel web applications

Dropbox desktop client

Dropbox Core SDK

هرگونه آسیب‌پذیری شناسایی شده در Pixelapse ،Loom ،MobileSpan ،Readmill و دیگر سایت‌هایی که محصولات آن‌ها در حال حاضر در محدوده دراپ‌باکس نبوده یا دیگر مورد استفاده قرار نمی‌گیرد در این برنامه‌ریزی جایی نخواهند داشت. همچنین برنامه‌ریزی صورت گرفته ممکن است در آینده دست‌خوش تغییراتی گشته و ثابت نباشد.

جوایز
حداقل پرداختی که از سوی دراپ‌باکس اعلام شده 216 دلار آمریکا و حداکثر پرداختی نیز 4913 هزار دلار خواهد بود. Akhawe  نوشت:  « با اجرای این برنامه دارپ‌باکس در مجموع 10475 هزار دلار به کسی که اشکالات مهم را گزارش کند پرداخت خواهد کرد.»

صلاحیت و مسئولیت‌پذیری
بر اساس یادداشتی که hackerone منتشر کرده است، افراد باید مسئولیت رعایت قوانین مربوط به هر برنامه کاربردی را بپذیرند. همچنین هر کاربر باید فقط با استفاده از حساب‌کاربری خود یا حساب‌کاربری آزمایشی برای گزارش آسیب‌پذیری‌ها استفاده کند. برای گزارش این مشکلات و آسیب‌پذیری‌ها و افزایش اطمینان بیشتر کاربران سایت hackerone سؤالات زیر را از کاربران می‌پرسد:

به اشتراک‌گذاری مشکل امنیتی با ارائه جزییات با  hackerone

Hackerone زمان مناسب برای پاسخ‌ به این مشکل قبل از آن‌که هرگونه اطلاعاتی به صورت عمومی منتشر کند نیاز دارد.

عدم تغییر یا اصلاح داده‌های کاربر بدون دریافت مجوز از صاحب حساب

نشان دادن حسن نیت در عمل نه با هدف کم کردن بهره‌وری ( منع سرویس denial of service)

در همین رابطه سایت hackerone در صفحه اول مربوط به دراپ‌باکس نوشته است: « حفظ اطلاعات کاربر به صورت مطمئن و امن در بالاترین اولویت اصلی ما نزد شرکت دراپ‌باکس قرار دارد. ما به همکاری پژوهشگران امنیتی خارجی که قصد همکاری داشته و نگاهی رو به جلو دارند و کمک‌های ارزشمندی برای برقراری امنیت کاربران دراپ‌باکس ارائه می‌کنند، خوش آمدید می‌گوییم.»

به نظر می‌رسد سیاست اتخاذ شده از سوی دراپ‌باکس موفقیت‌آمیز بوده و محققان امنیتی عکس‌العمل خوبی به این موضوع نشان داده‌اند، به‌طوری‌که نتایج منتشر شده روی سایت hackerone از شناسایی آسیب‌پذیری‌های مهم در محصولات دراپ‌باکس خبر می‌دهد.