Foi feita uma oferta pela empresa 1Password para invadir seu cofre seguro, adivinhando a senha e descobrindo um arquivo de texto, contendo "poesia ruim".
A alta recompensa da empresa atrairá muitos hackers de chapéu branco para tentar descobrir novos bugs e, assim, fortalecer a segurança do 1Password, mesmo que existam. A empresa também pretende mostrar que o que eles fornecem em seus serviços é seguro.
Chapéus brancos devem ser atraídos pela oferta no BugCrowd
A oferta pode ser localizada no site BugCrowd que funciona de maneira semelhante ao Kickstarter, um site de crowdsourcing onde ofertas de descoberta de bugs são oferecidas, em vez de.
A empresa declarou que está fazendo isso para mostrar que investiu muitos esforços para provar que o serviço que prestam é seguro.
A oferta com $100 000 recompensa é muito simples. Há uma conta em um perfil de usuário no 1Password e o que os invasores devem fazer é invadir e recuperar o arquivo "poesia ruim". Como esta é uma conta de usuário, a empresa fornecerá um bom teste para os serviços de gerenciamento de senhas que eles fornecem on-line.
O serviço da empresa funciona muito simples. Após um registro, o usuário recebe uma chave secreta exclusiva, que eles chamam de "Chave da conta". Essa chave é diferente para cada conta e os usuários devem anotá-la em algum lugar. Depois que essa chave é inserida, os usuários poderão fazer login em sua conta pessoal a partir de qualquer dispositivo ou navegador, por sua conta e risco. O elemento de privacidade é que, se essa chave for perdida, até a própria empresa não poderá recuperá-lo para o usuário.
O segundo elemento do 1Password é criar uma senha mestra - uma segunda camada de identificação, que você pode usar para fazer login na sua conta.
De lá, o serviço, gera um arquivo .pdf com a chave de recuperação exclusiva, disponível apenas para o usuário interagir e salvar. A interface principal do software inclui a capacidade de adicionar um aplicativo do serviço ao seu dispositivo, além do recurso de criar um “cofre” bloqueado exclusivo no qual as informações da senha podem ser armazenadas:
Houve muitas recompensas oferecidas por milhares de dólares, mas nunca um que seja anunciado publicamente para essa situação por 100 mil grandes. A empresa deve estar realmente certa do que está fazendo e só o tempo dirá se o arquivo de poesia ruim será recuperado por caçadores de recompensa ou não.