ZOMATO的第一个周年纪念，包括BUG悬赏：安全负责人PRATEEK TIWARI的问答

admin

Zomato总部位于印度-餐厅发现，在线订购和餐桌预订平台，目前在24个国家/地区运营；包括美国，澳大利亚，英国，加拿大，印度，土耳其，阿联酋，卡塔尔，葡萄牙，南非，新西兰等。由Prateek Tiwari领导的安全小组的任务是为每月超过5500万的唯一访问者保护敏感信息。本月，Zomato庆祝了其漏洞赏金计划的一周年。自2017年7月成立以来，该公司已为350多名黑客付出了超过100,000美元的努力，同时保持了4小时的平均响应时间-速度如此之快！为了纪念这一时刻，Zomato的安全团队还授予了其顶级黑客@Gerben_Javado，因为他过去一年的贡献而获得了$ 1,500的奖金。

我们最近赶上了Prateek，以庆祝这一里程碑，并让您有机会了解有关Zomato的漏洞赏金和安全性方法的更多信息。请查看下面的完整问答：

一年的黑客驱动安全性！迄今为止的结果是什么？有没有明显的里程碑？
多亏了黑客软件,黑客联盟,免杀,远控,ddos,cc,黑客攻防和热心的社区，其成果非常出色，远远超出了我们的预期。自启动该程序以来，我们已经收到350份有效的漏洞报告，并且120个黑客已从他们报告的中到高风险漏洞中累计赚取了102,150美元。

在过去的一年中，我们的安全和工程团队已经发展壮大。在黑客社区通过漏洞赏金计划的帮助下，我们还改善了许多流程和标准，从而使我们能够大规模提高性能和一致性。在计划开始时我们有一个目标-使Zomato更安全。多亏了社区，每一份报告得到解决，我们才更加接近这一目标。

回顾过去，哪些因素是该计划成功的最主要因素？
与黑客社区保持良好的关系至关重要。因此，我们的团队将响应时间列为优先事项。具体来说，我们团队的Shrey和Vinoth在验证提交内容并将其带给我们的工程团队以快速解决这些问题方面做得非常出色。赏金固然重要，但是对黑客的及时响应并在每个步骤中及时告知他们，对于保持黑客的忠诚度和忠诚度至关重要。黑客软件,黑客联盟,免杀,远控,ddos,cc,黑客攻防在降低噪音方面也发挥了关键作用，因此我们只能专注于有效问题。

自启动该程序以来，您是否有喜欢的黑客故事或报道脱颖而出？
@Gerben_Javado因其令人印象深刻的漏洞报告而脱颖而出。他最有趣的报告之一是他在我们的Android应用程序中升级了一个非常重要的漏洞-很难找到。他的工作真正展现了创造性的思维和毅力，我们很幸运在黑客软件,黑客联盟,免杀,远控,ddos,cc,黑客攻防平台上拥有如此出色的道德黑客。

最近，我们还收到了@bagipro提交的关于我们应用程序漏洞的高质量提交的文件。

您会给其他人什么建议，让他们现在开始他们的程序？
做好准备 在该程序启动时，将有大量报告。首先考虑进行内部审核，以尽可能多地消除低落的果实。您将不得不处理一些杂音，但是好的报告将弥补坏的报告。定义程序启动前的范围也很关键。它为黑客提供了清晰的画面，说明哪些漏洞报告可以接受，哪些不可以。

与工程团队建立良好的关系和清晰的流程对于及时解决报告也很重要。最后，保持您的响应时间始终很短。作为程序所有者，您必须确保黑客对他们的工作表示赞赏。响应时间更短=积极的黑客+出色的报告。

印度拥有大量的黑客社区。但是，印度很少有公司采用漏洞赏金计划。你为什么这么认为呢？
我认为这种情况正在迅速改变。近年来，从安全性的角度来看，印度公司已经成熟-他们中的大多数已经启动了漏洞披露程序（VDP）。时代在变化，我们很快就会看到许多公司对网络安全越来越主动。因此，我认为未来几年印度将会有更多的漏洞赏金计划。

Zomato的漏洞赏金计划的下一步是什么？
管道中有很多东西，请留意我们的政策变更。我们的应用程序最近也已添加到Google Play安全奖励计划中，因此，如果黑客在我们的应用程序中发现漏洞，则可以赚取额外的赏金。即将进行的其他更新包括：分流付款，奖励增加和赃物（谁不喜欢赃物？）。