Twitch offre des primes de bug plus élevées. La plateforme de streaming paiera désormais jusqu’à 5 000 dollars américains pour les vulnérabilités de sécurité correctement signalées, au lieu du maximum précédent de 3 000. Il s’agit de la réaction de Twitch à l’immense fuite de données sensibles sur un tableau d’images, notamment le code source complet et des informations sur les revenus des streamers Twitch. Ce rapport The Register citant un chercheur en sécurité qui n’est pas satisfait de la stratégie du bug bounty et qui parle d’une « économie gigogne orwellienne ».

Une perte de temps ?

Selon le rapport, les sommes ont été annoncées aux personnes qui se sont inscrites sur la plateforme de primes aux bugs de Twitch. Ce service est fourni par le prestataire de services Bugcrowd. Le Registre a reçu un courriel correspondant avec des descriptions détaillées des nouvelles récompenses (« P » signifie priorité) :

• P1 : $3,000 – $5,000
• P2 : 1800 $ -&gt ; 2000 $.
• P3 : $300 -&gt ; $500
• P4 : 100 $ -&gt ; 300 $.

Un chercheur en sécurité a réagi à la nouvelle : « C’est l’un des (…) problèmes de ces primes – elles ne correspondent souvent pas à la gravité des vulnérabilités que vous trouvez (…) Personnellement, je pense que les primes aux bugs sont une grande perte de temps et une économie de marché orwellienne (…). »

On peut certainement trouver des primes de bug plus élevées et peut-être plus proportionnelles à la gravité que celles offertes par Twitch. Au cours de l’été, par exemple, un étudiant en informatique avait reçu 50 000 dollars de Shopify après avoir découvert une vulnérabilité qui aurait pu avoir des implications similaires à la fuite de Twitch. Mais bien que les sociétés de primes aux bogues annoncent spécifiquement les montants qui peuvent être versés, ces paiements à cinq chiffres sont rares. The Register cite une étude montrant que le premier centile de HackerOne gagne en moyenne 34 225 dollars.