שי רוד
קרן מרדכי
23/12/2013
הלילה פרסמה חברת PayPal את רשימת 10 חוקרי אבטחת המידע המובילים שסייעו לה, ברבעון האחרון, להתמודד עם איומי אבטחת מידעו פרצות במערכות הסליקה המקוונות שלה. הפעם מלבד שי רוד, חוקר אבטחת מידע והאקר בצוות התקיפה והסייבר באבנת אבטחת מידע שמצוין בדירוג מתחילתו, מצויין גם דנור כהן, חוקר ומומחה בבדיקות חדירה מאותה החברה.
הפעילות המחייבת ביצוע פעולות האקינג מורכבות, מבוצעת באישור פייפאל, כחלק ממנגנון Bug Bountyהמאפשר להאקרים וחוקרי אבטחת מידע מכל העולם ליזום מתקפות ולאתר חולשות במערכת הסליקה ואתרי המשנה של החברה.
פייפאל החלה בפרסום רשימת עשרת החוקרים הבולטים לפני כחצי שנה. רוד מעורב בתוכנית הבאונטי זמן רב לפני שהפכה רשמית ומאות ממצאים שלו דווחו לחברה עד כה והוא נחשב לאחד החוקרים הותיקים הפועלים במסגרת הבאונטי.
לכהן זוהי הפעם הראשונה בדירוג הנוכחי של פייפאל לאחר דירוגים דומים במסגרת באונטי בחברות כמו טוויטר, גוגל ואחרות.
ברבעון האחרון דיווחו רוד וכהן על עשרות רבות של פרצות ואיומי אבטחת מידע מסוגים שונים בהם: XSS, CSRF,File inclusion, Remote code execution, SQL injection.
כחלק מפעילות הבאונטי שותפים רוד וכהן לליוווי והליך התיקון והטיפול בבאגים שאיתרו יחד עם צוות אבטחת המידע של פייפאל.
רוד וכהן מסרו: "כשתוכנית באונטי נמשכת זמן ממושך כל כך ומושכת אליה אלפי האקרים מכל העולם, שמוצאים ביחד מאות ואלפי פרצות ברמות מסוכנות שונות ומגוונות, כך גם עולה הרף בעצם איתור הממצאים שמצדיקים תשומת לב יסודית יותר מצידה של פייפאל ולכן עצם הנוכחות בדירוג החדש מיוחדת אפילו יותר. אנחנו בכל אופן מתכוונים להמשיך ולקחת חלק בפעילות הזו ובפעילויות נוספות דומות במטרה לסייע להפוך את שירותי האינטרנט הפופולאריים שכולנו צורכים, בטוחים יותר לשימוש".
הנתונים, המידע, הדעות והתחזיות המתפרסמות באתר זה מסופקים כשרות לגולשים. אין לראות בהם המלצה או תחליף לשיקול דעתו העצמאי של הקורא, או הצעה או או שיווק השקעות או ייעוץ השקעות ב: קרנות נאמנות, תעודות סל, קופות גמל, קרנות פנסיה, קרנות השתלמות או כל נייר ערך אחר או נדל"ן– בין באופן כללי וביןבהתחשב בנתונים ובצרכים המיוחדים של כל קורא – לרכישה ו/או ביצוע השקעות ו/או פעולות או עסקאות כלשהן. במידע עלולות ליפול טעויות ועשויים לחול בו שינויי שוק ושינויים אחרים. כמו כן עלולות להתגלות סטיות בין התחזיות המובאות בסקירה זו לתוצאות בפועל. לכותב עשוי להיות עניין אישי במאמר זה, לרבות החזקה ו/או ביצוע עסקה עבור עצמו ו/או עבור אחרים בניירות ערך ו/או במוצרים פיננסיים אחרים הנזכרים במסמך זה. פאנדר אינה מתחייבת להודיע לקוראים בדרך כלשהי על שינויים כאמור, מראש או בדיעבד. פאנדר לא תהיה אחראית בכל צורה שהיא לנזק או הפסד שיגרמו משימוש במאמר/ראיון זה, אם יגרמו, ואינה מתחייבת כי שימוש במידע זה עשוי ליצור רווחים בידי המשתמש.
