Getfly CRM - bảo mật phần mềm dịch vụ SaaS với Bug Bounty

Chúng tôi rất có duyên đã gặp được WhiteHub - đây là nền tảng giúp GETFLY có thể kết nối với các chuyên gia đầu ngành về bảo mật. Từ đó tìm ra các vấn đề mà bản thân nhân viên IT của Getfly không thể nào tìm ra được.

Thách thức của GETFLY về vấn đề bảo mật?

Giống như bất kỳ một doanh nghiệp nào khác, Getfly có nghĩa vụ phải bảo mật thông tin của hơn 2000 doanh nghiệp là khách hàng của công ty. Bên cạnh đó, là một công ty cung cấp giải pháp CRM, Getfly phải lưu trữ dữ liệu khách hàng của chính những doanh nghiệp sử dụng Getfly CRM. Như vậy, số lượng thông tin mà Getfly cần phải bảo vệ là vô cùng lớn.

Ngoài ra, là một start-up công nghệ có đà tăng trưởng nhanh, Getfly vẫn thường xuyên nâng cấp phần mềm và vá lỗi định kỳ theo tuần, theo tháng nhằm tối ưu hóa trải nghiệm của khách hàng. Do đó, những lỗi bảo mật có thể phát sinh mà đội ngũ IT không thể kiểm soát được.

Giải pháp

Chương trình Bug Bounty của GetFly được công bố trên nền tảng WhiteHub vào ngày 23/1/2019. Để đảm bảo an toàn cho các thông tin nhạy cảm của khách hàng doanh nghiệp, GetFly lựa chọn chương trình Bug Bounty bí mật (private). Ngoài ra, private Bug Bounty cho phép GetFly lựa chọn và mời những chuyên gia uy tín và tài năng nhất trên nền tảng WhiteHub kiểm thử cho ứng dụng SaaS của mình.

Các chuyên gia đã xâm nhập vào môi trường kiểm thử được cung cấp bởi GetFly và rà soát toàn bộ những lỗi có thể gây nguy hiểm cũng như tiềm ẩn nguy cơ rò rỉ thông tin người dùng trong hệ thống.

Kết quả

Sau chưa đầy một tháng triển khai, tổng cộng có 32 lỗ hổng đã được phát hiện và 16 lỗ hổng được trao thưởng. Trong đó, có 8 lỗ hổng được đánh giá ở mức độ cực kỳ nguy hiểm (Critical) và 8 lỗ hổng được đánh giá độ nguy hiểm cao (High). SQL Injection là một trong những lỗi được ưu tiên hàng đầu để tập trung bảo vệ dữ liệu nhạy cảm của Getfly CRM.

Related stories