Un programa de recompensas por errores es un acuerdo ofrecido por muchos sitios web, organizaciones y desarrolladores de software mediante el cual las personas pueden recibir reconocimiento y compensación [1] [2] por informar errores , especialmente aquellos relacionados con vulnerabilidades y vulnerabilidades de seguridad . [3]
Estos programas permiten a los desarrolladores descubrir y resolver errores antes de que el público en general los conozca, evitando incidentes de abuso generalizado y violaciones de datos. Un gran número de organizaciones han implementado programas de recompensas por errores, entre ellos Mozilla , [4] [5] Facebook , [6] Yahoo! , [7] Google , [8] Reddit , [9] Square , [10] Microsoft , [11] [12] y la recompensa por errores de Internet. [13]
Empresas ajenas a la industria tecnológica, incluidas organizaciones tradicionalmente conservadoras como el Departamento de Defensa de los Estados Unidos , han comenzado a utilizar programas de recompensas por errores. [14] El uso por parte del Pentágono de programas de recompensas por errores es parte de un cambio de postura que ha visto a varias agencias gubernamentales de EE. UU. cambiar de rumbo y pasar de amenazar a los hackers de sombrero blanco con recursos legales a invitarlos a participar como parte de un marco o política integral de divulgación de vulnerabilidades. [15]
Hunter y Ready iniciaron el primer programa de recompensas por errores conocido en 1981 para su sistema operativo Versatile Real-Time Executive . Cualquiera que encontrara y reportara un error recibiría a cambio un Volkswagen Beetle ( también conocido como Bug). [dieciséis]
El 10 de octubre de 1995, Netscape Communications Corporation lanzó un programa "Bugs Bounty" para la versión beta de su navegador Netscape Navigator 2.0. [17] [18] [19]
En agosto de 2013, un estudiante palestino de informática informó de una vulnerabilidad que permitía a cualquiera publicar un vídeo en una cuenta arbitraria de Facebook. Según la comunicación por correo electrónico entre el estudiante y Facebook, intentó informar la vulnerabilidad utilizando el programa de recompensas por errores de Facebook, pero los ingenieros de Facebook malinterpretaron al estudiante. Posteriormente aprovechó la vulnerabilidad utilizando el perfil de Facebook de Mark Zuckerberg , lo que provocó que Facebook se negara a pagarle una recompensa. [20]
Facebook comenzó a pagar a los investigadores que encuentran e informan errores de seguridad emitiéndoles tarjetas de débito personalizadas con la marca "White Hat" que pueden recargarse con fondos cada vez que los investigadores descubren nuevos fallos. "Los investigadores que encuentran errores y mejoras de seguridad son raros, los valoramos y tenemos que encontrar formas de recompensarlos", dijo a CNET Ryan McGeehan, ex gerente del equipo de respuesta de seguridad de Facebook, en una entrevista. "Tener esta tarjeta negra exclusiva es otra forma de reconocerlos. Pueden presentarse en una conferencia, mostrar esta tarjeta y decir 'Hice un trabajo especial para Facebook'". [21] En 2014, Facebook dejó de emitir tarjetas de débito a los investigadores. [ cita necesaria ]
En 2016, Uber experimentó un incidente de seguridad cuando un individuo accedió a la información personal de 57 millones de usuarios de Uber en todo el mundo. El individuo supuestamente exigió un rescate de 100.000 dólares para destruir los datos en lugar de publicarlos. En un testimonio ante el Congreso, el CISO de Uber indicó que la empresa verificó que los datos habían sido destruidos antes de pagar los 100.000 dólares. [22] El Sr. Flynn lamentó que Uber no revelara el incidente en 2016. Como parte de su respuesta a este incidente, Uber trabajó con su socio HackerOne para actualizar sus políticas del programa de recompensas por errores para, entre otras cosas, explicar más detalladamente la buena fe. investigación y divulgación de vulnerabilidades. [23]
Yahoo! fue severamente criticado por enviar Yahoo! Camisetas como recompensa a los investigadores de seguridad por encontrar e informar vulnerabilidades de seguridad en Yahoo!, lo que provocó lo que se conoció como T-shirt-gate . [24] High-Tech Bridge , una empresa de pruebas de seguridad con sede en Ginebra, Suiza, emitió un comunicado de prensa diciendo que Yahoo! Ofreció 12,50 dólares en crédito por vulnerabilidad, que podría usarse para comprar artículos de la marca Yahoo, como camisetas, tazas y bolígrafos de su tienda. Ramsés Martínez, director del equipo de seguridad de Yahoo, afirmó más tarde en una publicación de blog [25] que él estaba detrás del programa de recompensas con vales y que básicamente los había estado pagando de su propio bolsillo. Finalmente, Yahoo! lanzó su nuevo programa de recompensas por errores el 31 de octubre del mismo año, que permite a los investigadores de seguridad enviar errores y recibir recompensas entre $250 y $15,000, dependiendo de la gravedad del error descubierto. [26]
De manera similar, cuando Ecava lanzó el primer programa conocido de recompensas por errores para ICS en 2013, [27] [28] fueron criticados por ofrecer créditos de tienda en lugar de efectivo, lo que no incentiva a los investigadores de seguridad. [29] Ecava explicó que el programa estaba destinado a ser inicialmente restrictivo y centrado en la perspectiva de seguridad humana para los usuarios de IntegraXor SCADA , su software ICS. [27] [28]
Algunos programas de recompensas por errores han sido criticados como herramientas para impedir que los investigadores de seguridad revelen públicamente vulnerabilidades, condicionando la participación a programas de recompensas por errores, o incluso la concesión de puerto seguro , a acuerdos abusivos de no divulgación . [30] [31]
Aunque las solicitudes de recompensas por errores provienen de muchos países, unos pocos países tienden a enviar más errores y recibir más recompensas. Estados Unidos y la India son los principales países desde los que los investigadores envían errores. [32] India, que tiene el primer o segundo mayor número de cazadores de errores en el mundo, dependiendo del informe que se cite, [33] encabezó el programa Bug Bounty de Facebook con el mayor número de errores válidos. [34] En 2017, India tuvo el mayor número de envíos válidos al programa Whitehat de Facebook, seguida de Estados Unidos y Trinidad y Tobago . [34]
En octubre de 2013, Google anunció un cambio importante en su programa de recompensa por vulnerabilidad. Anteriormente, había sido un programa de recompensas por errores que cubría muchos productos de Google. Sin embargo, con el cambio, el programa se amplió para incluir una selección de bibliotecas y aplicaciones de software gratuitas de alto riesgo , principalmente aquellas diseñadas para redes o para funcionalidad de sistema operativo de bajo nivel . Los envíos que Google considerara que cumplían con las pautas serían elegibles para recompensas que oscilarían entre $ 500 y $ 3133,70. [35] [36] En 2017, Google amplió su programa para cubrir las vulnerabilidades encontradas en aplicaciones desarrolladas por terceros y disponibles a través de Google Play Store. [37] El programa de recompensas por vulnerabilidades de Google ahora incluye vulnerabilidades encontradas en productos de Google, Google Cloud, Android y Chrome, y recompensas de hasta $31,337. [38]
Microsoft y Facebook se asociaron en noviembre de 2013 para patrocinar The Internet Bug Bounty, un programa que ofrece recompensas por informar ataques y exploits para una amplia gama de software relacionado con Internet. [39] En 2017, GitHub y la Fundación Ford patrocinaron la iniciativa, que está gestionada por voluntarios de Uber, Microsoft, [40] Adobe, HackerOne, GitHub, NCC Group y Signal Sciences. [41] El software cubierto por IBB incluye Adobe Flash , Python , Ruby , PHP , Django , Ruby on Rails , Perl , OpenSSL , Nginx , Apache HTTP Server y Phabricator . Además, el programa ofrecía recompensas por exploits más amplios que afectaran a los sistemas operativos y navegadores web más utilizados , así como a Internet en su conjunto. [42]
En marzo de 2016, Peter Cook anunció el primer programa de recompensas por errores del gobierno federal de EE. UU., el programa "Hack the Pentagon". [43] El programa se desarrolló del 18 de abril al 12 de mayo y más de 1.400 personas enviaron 138 informes válidos únicos a través de HackerOne . En total, el Departamento de Defensa de Estados Unidos pagó 71.200 dólares. [44]
En 2019, la Comisión Europea anunció la iniciativa de recompensa por errores EU-FOSSA 2 para proyectos populares de código abierto , incluidos Drupal , Apache Tomcat , VLC , 7-zip y KeePass . El proyecto fue cofacilitado por la plataforma europea de recompensas por errores Intigriti y HackerOne y dio como resultado un total de 195 vulnerabilidades únicas y válidas. [45]
Open Bug Bounty es un programa público de recompensas por errores de seguridad establecido en 2014 que permite a las personas publicar vulnerabilidades de seguridad de sitios web y aplicaciones web con la esperanza de obtener una recompensa de los operadores de sitios web afectados. [46]