El programa Bug Bounty es un programa ofrecido por algunos sitios web y desarrolladores de software a través del cual las personas pueden ser reconocidas y recompensadas por encontrar errores , especialmente aquellos relacionados con explotaciones y vulnerabilidades . Estos programas permiten a los desarrolladores detectar y corregir errores antes de que sean conocidos por el público en general, evitando el abuso. En particular, los programas Bug Bounty fueron implementados por Facebook , [1] Yahoo! , [2] Google , [3] Reddit , [4] Square , Apple y Microsoft. [5]
El programa Bug Bounty fue creado originalmente por Jarrett Ridlinhafer mientras trabajaba para Netscape Communications Corporation como ingeniero de soporte técnico. La corporación alentó a sus empleados a ascender en la escala corporativa y hacer lo que fuera necesario para realizar el trabajo.
A principios de 1996, a Jarrett Ridlinhafer se le ocurrió la frase y la idea de Bugs Bounty. Era consciente de que había muchos entusiastas y evangelistas de TI de varios productos en la corporación, algunos de los cuales incluso le parecían fanáticos, especialmente en relación con el navegador Mosaic / Netscape / Mozilla . Empezó a investigar la situación con más detalle y descubrió que la mayoría de los entusiastas eran en realidad desarrolladores de software. Ellos mismos corrigieron errores de productos y publicaron correcciones o mejoras de productos:
Ridlinhafer sintió que la empresa debería usar estos recursos y escribió una propuesta a su gerente sobre el Programa Netscape Bugs Bounty , quien invitó a Ridlinhafer a presentarlo en la próxima reunión ejecutiva de la empresa.
En la siguiente reunión ejecutiva, a la que asistieron James Barksdale, Mark Andreessen y los vicepresidentes de todos los departamentos, incluido el desarrollo de productos, cada miembro recibió una copia de la propuesta del programa Netscape Bugs Bounty Program , y se invitó a Ridlinhafer a presentar su idea a Netscape. alta dirección
Todos los presentes en la reunión aceptaron la idea, a excepción del vicepresidente de ingeniería , que no quiso avanzar por considerarlo una pérdida de tiempo. Sin embargo, su opinión fue rechazada y Ridlinhafer recibió un presupuesto inicial de $ 50,000 para comenzar a trabajar en su propuesta. El primer programa oficial Bugs Bounty se lanzó en 1995. [6] [7] [8]
El programa fue un éxito tan grande que aparece en muchos de los libros de éxito de Netscape.
En agosto de 2013, un estudiante de informática llamado Khalil informó en Facebook sobre un exploit que permitía a cualquier persona publicar un video en la cuenta de otra persona. Según sus correos electrónicos, trató de informar la vulnerabilidad como parte del programa Bug Bounty de Facebook, pero Facebook no lo entendió. Más tarde, él mismo usó este exploit en nombre del jefe de Facebook Mark Zuckerberg , por lo que se le negó una recompensa. [9]
Facebook ha comenzado a pagar a los investigadores que encuentran y reportan errores de seguridad mediante la emisión de tarjetas de débito especiales "White Hat" que se acreditan cada vez que los investigadores encuentran nuevos errores y fallas. “Los investigadores que encuentran errores y oportunidades para mejorar el sistema de seguridad son raros, los apreciamos y deberíamos recompensarlos”, dijo a CNET Ryan McGeehan, exgerente de seguridad de Facebook . “Tener esta tarjeta negra exclusiva es otra forma de reconocer su mérito. Pueden mostrar esta tarjeta en la conferencia y decir: Hice un trabajo especial para Facebook. [10] En 2014, Facebook dejó de emitir tarjetas de débito para investigadores.
India, que se encuentra entre los primeros del mundo en número de cazadores de vulnerabilidades, [11] lidera el programa Facebook Bug Bounty en número de errores encontrados.
yahoo! fue fuertemente criticado por enviar camisetas como recompensa a los investigadores de seguridad por descubrir y reportar vulnerabilidades en Yahoo. Este evento se conoció como T-shirt-gate ("T-shirt-gate"). [12] La empresa de pruebas de seguridad High-Tech Bridge ( Ginebra , Suiza ) emitió un comunicado de prensa afirmando que Yahoo! ofreció un crédito de $ 12.50 por vulnerabilidades, que podría usarse para comprar artículos de marca como camisetas, tazas y bolígrafos de la tienda de Yahoo. Ramsés Martínez, director de seguridad de la información de Yahoo, declaró más tarde en una entrada de blog [13] que él estaba detrás del programa y que lo pagó de su propio bolsillo. Como resultado, Yahoo! lanzó un nuevo programa Bug Bounty el 31 de octubre del mismo año, que permitía a los usuarios informar vulnerabilidades y recibir recompensas que iban desde $ 250 a $ 15,000, según la gravedad de los errores encontrados. [catorce]
Ecava encontró un problema similar, que lanzó el primer programa ICS Bug Bounty en 2013 [ 15] [16] . Fue criticada por ofrecer crédito en su tienda en lugar de dinero real, lo que no despertó entusiasmo entre los investigadores [17] . Según Ecava, desde el principio se pretendía que el programa fuera limitado y centrado en la seguridad de los usuarios de su producto IntegraXor SCADA [15] [16] .
En octubre de 2013, Google anunció un cambio significativo en su programa de recompensas por errores. Anteriormente, el programa Bug Bounty cubría muchos productos de Google. Sin embargo, el programa se ha ampliado para incluir una serie de aplicaciones y bibliotecas gratuitas de alto riesgo , principalmente aquellas diseñadas para redes o funcionalidades de sistemas operativos de bajo nivel. Los informes que cumplen con las pautas de Google pueden recibir recompensas que oscilan entre $ 500 y $ 3133,70. [18] [19]
De manera similar, Microsoft y Facebook se unieron en noviembre de 2013 para patrocinar The Internet Bug Bounty, que ofrece una recompensa por informar vulnerabilidades y exploits para una amplia gama de software relacionado con Internet. [20] En 2017, este programa fue patrocinado por GitHub y la Fundación Ford ; está dirigido por voluntarios de Uber, Microsoft, Facebook, Adobe y HackerOne. [21] Incluye productos como Adobe Flash , Python , Ruby , PHP , Django , Ruby on Rails , Perl , OpenSSL , nginx , Apache HTTP Server y Phabricator . Además, el programa ofreció un premio por identificar vulnerabilidades más amplias que afectan a los sistemas operativos y navegadores web más utilizados , así como a Internet en general. [22]
En marzo de 2016, Peter Cook anunció el primer programa Bug Bounty del gobierno federal de EE. UU., Hack the Pentagon . [23] El programa se desarrolló del 18 de abril al 12 de mayo y más de 1400 personas enviaron 138 informes únicos a través de HackerOne. En total, el Departamento de Defensa de los Estados Unidos pagó $71,200. [24] En junio, el Secretario de Defensa Ash Carter se reunió con dos participantes, David Dworken y Craig Arend, para agradecerles su participación en el programa. [25]
Open Bug Bounty es un programa colectivo de recompensas por errores lanzado en 2014 que le permite informar vulnerabilidades en sitios web y aplicaciones web con la esperanza de ser recompensado por sus propietarios.
El 8 de diciembre de 2020, la empresa kazaja de prestación de servicios de ciberseguridad ULE “Centro de Análisis e Investigación de Ataques Cibernéticos” lanzó la plataforma Nacional de identificación de vulnerabilidades BugBounty.kz . Además de empresas privadas, también se conectaron a la plataforma sistemas de información y recursos de organismos estatales. Desde el lanzamiento de la plataforma hasta el 28 de octubre de 2021 se han recibido 1.039 reportes de vulnerabilidad. Durante la operación de la plataforma, se identificaron vulnerabilidades que llevaron a la fuga de datos personales de instalaciones críticas de infraestructura de información y comunicación y la interceptación del control sobre los sistemas de soporte vital de toda una ciudad.
En 2021, Cyberpolygon LLC anunció y lanzó la plataforma BugBounty.ru , la primera plataforma en la Federación Rusa para buscar vulnerabilidades e interacción entre cazadores de errores y propietarios de recursos. Desde el lanzamiento del programa, se han identificado varios cientos de vulnerabilidades, que van desde menores hasta supercríticas.
En 2022, Positive Technologies [26] presentó [27] su plataforma The Standoff 365 Bug Bounty . Por primera vez, los investigadores de seguridad pueden ser recompensados no solo por descubrir vulnerabilidades, sino también por implementar riesgos comerciales. En dos meses , más de 900 investigadores de seguridad se han registrado en la plataforma.