Las empresas de tecnología han encontrado en los expertos de seguridad y hackers una gran herramienta para descubrir vulnerabilidades en sus productos y reforzar la seguridad.
Algunas ofrecen miles de dólares, como Microsoft, quien ha roto el récord de la mayor recompensa al pagar 100 mil dólares al investigador James Forshaw por encontrar una vulnerabilidad en Windows 8. Otras como Facebook y Etsy otorgan premios más modestos.
Microsoft
Microsoft Bounty Programs es el programa mediante el cual la compañía ofrece premios en efectivo a quienes encuentren vulnerabilidades en sus sistemas operativos, navegadores o en su software. Las convocatorias se publican en el sitio Microsoft.com/security/msrc/report/bountyprograms.aspx.
Requisitos: Los participantes de cada convocatoria deben enviar un informe detallado en el que expliquen el método de explotación de una o más clases de vulnerabilidad y un proceso o “exploit” funcional que demuestre cómo lo logran. Un buen reporte puede aumentar la recompensa hasta 50 mil dólares.
El premio: Cada convocatoria tiene un valor distinto, la más alta es la de Windows 8.1, para la cual Microsoft ofreció hasta 100 mil dólares por exploit encontrado.
Google
El programa de recompensas de Google se llama Vulnerability Reward Program e involucra los servicios de Google, YouTube, Blogger y Orkut. Chrome tiene un programa de recompensas aparte.
Requisitos: Google solo aceptará reportes que tengan que ver con errores de autenticación o autorización, virus que afecten la ejecución de códigos de los servidores, errores en los códigos entre sitios y falsificaciones de peticiones. Los reportes se envían a security@google.com.
El premio: Las recompensas de Google dependen de la complejidad del ataque y el tipo de servicio en el que lo hayan encontrado. Los participantes pueden ganar entre 500 y 20 mil dólares.
Paypal
Bug Bounty Program es el programa de recompensas de PayPal. Si un participante descubre vulnerabilidades en los dominios de Zong, BillMeLater, Where, Microplace, PayPal, Card.io o Billsafe puede enviar su descubrimiento a sitesecurity@paypal.com.
Requisitos: El reporte debe incluir un correo electrónico, nombre, apellido, una cuenta verificada de PayPal, el tipo de vulnerabilidad y los pasos para reproducir el virus. Si trabajas en eBay o eres pariente de alguien que colabore en el portal de subastas no puedes participar.
El premio: Dependiendo del dominio y la vulnerabilidad puedes ganar entre 100 y 10 mil dólares.
Mozilla
Mozilla Security Bug Bounty Program es la oferta de Mozilla para que los hackers y expertos en seguridad encuentren fallas en su navegador. Para ser tomados en cuenta deben enviar un reporte describiendo lo que encontraron a través del sitio Mozilla.org/security/bug-bounty.html.
Requisitos: La vulnerabilidad debe ser original y nunca antes reportada, tiene que ser un exploit remoto y el participante no puede ser el autor del código malicioso ni participar en ningún proyecto de Mozilla.
Premio: Si encuentras un error en Mozilla puedes ganar desde 500 dólares hasta 3 mil y una playera de Mozilla.
Algunas ofrecen miles de dólares, como Microsoft, quien ha roto el récord de la mayor recompensa al pagar 100 mil dólares al investigador James Forshaw por encontrar una vulnerabilidad en Windows 8. Otras como Facebook y Etsy otorgan premios más modestos.
Microsoft
Microsoft Bounty Programs es el programa mediante el cual la compañía ofrece premios en efectivo a quienes encuentren vulnerabilidades en sus sistemas operativos, navegadores o en su software. Las convocatorias se publican en el sitio Microsoft.com/security/msrc/report/bountyprograms.aspx.
Requisitos: Los participantes de cada convocatoria deben enviar un informe detallado en el que expliquen el método de explotación de una o más clases de vulnerabilidad y un proceso o “exploit” funcional que demuestre cómo lo logran. Un buen reporte puede aumentar la recompensa hasta 50 mil dólares.
El premio: Cada convocatoria tiene un valor distinto, la más alta es la de Windows 8.1, para la cual Microsoft ofreció hasta 100 mil dólares por exploit encontrado.
El programa de recompensas de Google se llama Vulnerability Reward Program e involucra los servicios de Google, YouTube, Blogger y Orkut. Chrome tiene un programa de recompensas aparte.
Requisitos: Google solo aceptará reportes que tengan que ver con errores de autenticación o autorización, virus que afecten la ejecución de códigos de los servidores, errores en los códigos entre sitios y falsificaciones de peticiones. Los reportes se envían a security@google.com.
El premio: Las recompensas de Google dependen de la complejidad del ataque y el tipo de servicio en el que lo hayan encontrado. Los participantes pueden ganar entre 500 y 20 mil dólares.
Paypal
Bug Bounty Program es el programa de recompensas de PayPal. Si un participante descubre vulnerabilidades en los dominios de Zong, BillMeLater, Where, Microplace, PayPal, Card.io o Billsafe puede enviar su descubrimiento a sitesecurity@paypal.com.
Requisitos: El reporte debe incluir un correo electrónico, nombre, apellido, una cuenta verificada de PayPal, el tipo de vulnerabilidad y los pasos para reproducir el virus. Si trabajas en eBay o eres pariente de alguien que colabore en el portal de subastas no puedes participar.
El premio: Dependiendo del dominio y la vulnerabilidad puedes ganar entre 100 y 10 mil dólares.
Mozilla
Mozilla Security Bug Bounty Program es la oferta de Mozilla para que los hackers y expertos en seguridad encuentren fallas en su navegador. Para ser tomados en cuenta deben enviar un reporte describiendo lo que encontraron a través del sitio Mozilla.org/security/bug-bounty.html.
Requisitos: La vulnerabilidad debe ser original y nunca antes reportada, tiene que ser un exploit remoto y el participante no puede ser el autor del código malicioso ni participar en ningún proyecto de Mozilla.
Premio: Si encuentras un error en Mozilla puedes ganar desde 500 dólares hasta 3 mil y una playera de Mozilla.