Deutsche Telekom avaa bug bounty -ohjelmansa ulkopuolisille tutkijoille

Deutsche Telekom on laajentanut tietoturvatoimiaan avaamalla bug bounty -ohjelmansa ulkopuolisille tietoturvatutkijoille. Yhtiö tarjoaa palkkioita kaikille, jotka onnistuvat löytämään ja raportoimaan haavoittuvuuksia sen verkkopalveluista.

Ohjelma jakaantuu kahteen osaan: julkiseen ja yksityiseen. Julkisessa ohjelmassa tutkijat voivat raportoida löydöksiään Telekomin verkkotunnuksiin, kuten *.telekom.de, *.telekom.net ja *.telekom.com, liittyvistä haavoittuvuuksista. Palkkiot vaihtelevat löydetyn haavoittuvuuden kriittisyyden mukaan, ollen korkeimmillaan 5 000 euroa kriittisimmistä löydöksistä.

Yksityinen bug bounty -ohjelma tarjoaa laajempia tutkimuskohteita ja korkeampia palkkioita, jotka voivat nousta jopa 10 000 euroon. Tarkemmat tiedot yksityisen ohjelman kohteista ja osallistumismekanismeista ovat saatavilla suoraan Deutsche Telekomilta.

Yhtiö korostaa vastuullisen julkistamisen käytäntöä ja edellyttää tutkijoiden ilmoittavan löydöksistä välittömästi. Raporttien tulee sisältää tarkka kuvaus haavoittuvuudesta, sen kriittisyysarvio sekä todisteet tai ehdotukset sen toistettavuudesta ja korjaamisesta. Deutsche Telekom käyttää haavoittuvuuksien arvioinnissa standardoituja luokitusjärjestelmiä, kuten Bugcrowd's Vulnerability Rating Taxonomyä ja CVSS-järjestelmää.

Ohjelma on avoin kaikille nykyisiä ja entisiä työntekijöitä ja heidän sukulaisiaan lukuun ottamatta. Alaikäisiltä vaaditaan huoltajan suostumus. Yhtiö painottaa, että tietoturvan ja datan yksityisyyden varmistaminen on keskeistä, ja bug bounty -ohjelma on yksi keino parantaa näitä.