OVH lancia il suo Bug Bounty per una maggiore sicurezza
Presentato in occasione della quattordicesima edizione della Nuit du Hack , il Bug Bounty OVH permette a tutti di segnalare eventuali falle rilevate sulle infrastrutture. Già testato internamente, questo programma è disponibile sulla piattaforma bountyfactory.io . Tutte i bug di sicurezza segnalati vengono analizzati e, se necessario, corretti dai nostri team. Tutte le segnalazioni accertate verranno ricompensate, nella maggior parte dei casi economicamente - con premi fino a 10.000 euro - e talvolta con omaggi promozionali o voucher per bug esterni al perimetro.
Una piattaforma ospitata in Europa
Dalla sua creazione 17 anni fa, per OVH la sicurezza è sempre stata una priorità. La segnalazione dei bug era già possibile scrivendo all'indirizzo email security[at]ovh.net. Per Vincent Malguy del team SOC (Security Operation Center), " il lancio pubblico del Bug Bounty è il risultato di molti anni di riflessione. È la realizzazione della piattaforma bountyfactory.io che ha consentito di concretizzare il progetto voluto da Octave Klaba. "
Le piattaforme di Bug Bounty esistenti fino ad oggi erano tutte americane e per una società come OVH, fortemente legata alla sovranità dei dati, non era possibile salvare la lista di queste vulnerabilità fuori dal territorio nazionale. La piattaforma che consente a OVH di utilizzare questo programma è ospitata internamente sull'offerta Dedicated Cloud, infrastruttura certificata ISO 27001 da diversi anni.
Una strategia di sicurezza consolidata
L’apertura al pubblico della ricerca dei bug completa le misure applicate dal leader europeo del Cloud per garantire la sicurezza delle infrastrutture e dei dati dei clienti. Al di là della strategia di certificazioni e attestazioni globali (ISO 27001 e ISO 27017, PCI-DSS, SOC 1 tipo II e SOC 2 tipo II per il Dedicated Cloud), OVH esegue ogni anno numerosi test di intrusione interni ed esterni, con cui assicura che anche i sistemi più critici rispondano alle esigenze più elevate.
Per coprire l'insieme delle gamme OVH e ridurre al minimo l'esistenza di problemi di sicurezza, la società ha istituzionalizzato e stardardizzato la procedura per le segnalazioni pubbliche: " Con questo Bug Bounty, possiamo testare costantemente tutte le nostre infrastrutture utilizzando profili e competenze diversi. Non potremmo mai coprire tutte le gamme per un periodo così lungo con controlli classici ", ricorda Vincent Malguy.
Al momento relativo solo alle falle di sicurezza individuate sull’API e sullo Spazio Cliente OVH, il Bug Bounty dovrebbe essere rapidamente esteso ad altri servizi OVH.
Per maggiori informazioni: Aiutateci a migliorare la nostra sicurezza con Bug Bounty![/url]