in

¿Qué son las recompensas por errores? ¿Como trabajas? [With Examples]


¿Cómo funcionan las recompensas por errores?

Las empresas crean recompensas de errores para proporcionar incentivos financieros a los cazarrecompensas de errores independientes que descubren brechas de seguridad y vulnerabilidades en los sistemas. Cuando los cazarrecompensas informan de errores válidos, las empresas les pagan para que descubran agujeros de seguridad antes de que lo hagan los malos.

¿Qué es exactamente una recompensa por errores?

Una recompensa por errores es un premio en efectivo que se otorga a los piratas informáticos éticos por descubrir y notificar con éxito una vulnerabilidad o error al desarrollador de la aplicación. Los programas de recompensas por errores permiten a las empresas utilizar la comunidad de piratas informáticos para mejorar continuamente la seguridad de sus sistemas a lo largo del tiempo.

Los piratas informáticos de todo el mundo cazan errores y, en algunos casos, Obtenga ingresos a tiempo completo. Los programas de recompensas atraen a una amplia variedad de piratas informáticos con diferentes habilidades y conocimientos, lo que brinda a las organizaciones una ventaja sobre las pruebas, que pueden utilizar equipos de seguridad con menos experiencia para identificar vulnerabilidades.

Los programas de recompensas a menudo complementan a los regulares Ensayos de penetración y ofrecer a las empresas la oportunidad de probar la seguridad de sus aplicaciones a lo largo de su ciclo de vida de desarrollo.

¿Cómo funciona un programa de recompensas por errores?

Las empresas que inician programas de recompensas primero deben determinar el alcance y el presupuesto de sus programas. Un área define qué sistemas puede probar un pirata informático y cómo se lleva a cabo una prueba. Por ejemplo, algunas organizaciones bloquean ciertos dominios o afirman que las pruebas no tienen ningún impacto en las operaciones comerciales diarias. Esto les permite implementar pruebas de seguridad sin afectar la eficiencia general de la organización, la productividad y, en última instancia, el resultado final.

Las recompensas por errores con pagos competitivos muestran a la comunidad de piratas informáticos que las empresas se toman en serio la divulgación de vulnerabilidades y la seguridad. Los programas se basan en la gravedad de la vulnerabilidad y las recompensas aumentan a medida que aumenta el impacto potencial.

El dinero no es la única motivación para la comunidad de piratas informáticos. Sistemas como Tablas de clasificación que los piratas informáticos acrediten sus descubrimientos y les ayuden a obtener crédito.

Tan pronto como un pirata informático descubre un error, completa un informe de divulgación que describe exactamente cuál es el error, cómo afecta a la aplicación y qué gravedad tiene. El pirata informático tiene pasos y detalles importantes para ayudar a los desarrolladores a replicar y validar el error. Una vez que los desarrolladores han verificado y confirmado el error, la empresa paga la recompensa al pirata informático.

Los pagos varían según la gravedad y van desde unos pocos miles de dólares hasta millones de dólares, según la empresa y el impacto potencial del error. Los desarrolladores dan prioridad a los informes de errores entrantes de acuerdo con su gravedad y trabajan para solucionar el error. Una vez que se corrige el error, los desarrolladores vuelven a probar para confirmar la resolución.

Ejemplos de programas de recompensas por errores

Algunas de las marcas más importantes del mundo utilizan programas de recompensas para proteger sus aplicaciones y clientes. A continuación se muestran tres ejemplos de empresas que utilizan HackerOne para ejecutar sus programas de recompensas.

Shopify

Shopify brinda servicios de comercio electrónico a más de medio millón de empresas en todo el mundo, por lo que la seguridad es una de las principales prioridades para el éxito comercial de Shopify. Hasta la fecha, Shopify ha pagado recompensas de más de $ 1,580,000 para piratas informáticos y ofrece hasta $ 30.000 para informes de vulnerabilidades críticas.

En Diciembre de 2020, un pirata informático descubrió una falla de seguridad crítica que permitía el acceso no autorizado a las cuentas de los comerciantes. Debido al programa de recompensas por errores, el pirata informático notificó al equipo de Shopify, que podría solucionar el error a tiempo para la víspera de Navidad, uno de los días de compras más importantes del comercio electrónico.

El hacker @ cache-money fue recompensado con USD 15.000 más una bonificación de USD 250 por su descubrimiento y divulgación.

Aullido

Yelp conecta a los buscadores con grandes empresas locales de todo el mundo. Yelp ha estado usando HackerOne para la administración desde 2014 su programa de recompensas. Dado su valor en la comunidad de piratas informáticos, Yelp tiene 19 dominios diferentes en alcance, que incluyen todo, desde aplicaciones móviles hasta sistemas de correo electrónico. Hasta la fecha, Yelp ha solucionado más de 300 vulnerabilidades con su programa de recompensas por errores y continúa agregando nuevas aplicaciones y dominios a su hoja de ruta. La Figura 1 a continuación muestra los dominios del programa de recompensas por errores de Yelp.

aullido

Yelp 2
Figura 1: Dominios del alcance para Yelp

Grupo Mail.ru

Desde 2014 el Programa de recompensas por errores de Mail.ru Group ha solucionado más de 4.300 vulnerabilidades de seguridad. Recientemente, Mail.ru Group pagó más de $ 1 millón en pagos de recompensas a los piratas informáticos que ayudaron a Mail.ru a proteger su alojamiento de correo electrónico.

Mail.ru Group paga hasta $ 35,000 por los errores más impactantes revelados y utiliza una tabla detallada para ayudar a los piratas informáticos a comprender el pago estimado en función del sistema comprometido y la gravedad. El Grupo Mail.ru incluso llega a pagar los errores encontrados en las aplicaciones de los proveedores asociados de Mail.ru.

¿Cómo puedo configurar mi propio programa de recompensas por errores?

Tradicionalmente, para configurar un programa de recompensas por errores, las empresas tenían que configurar su plataforma de comunicación, implementar sistemas de seguimiento de errores e integrarlos en las pasarelas de pago. Ahora, configurar un programa de recompensas por errores es un proceso simple de HackerOne. La plataforma HackerOne permite a las empresas establecer su alcance, realizar un seguimiento de los informes de errores y administrar los pagos desde un solo lugar.

Las métricas de informes detallados brindan a los equipos de seguridad una vista en vivo del progreso de sus programas de recompensas de errores y permiten a las organizaciones establecer rápidamente SLA personalizados para abordar nuevas divulgaciones.

Cómo puede ayudar HackerOne

HackerOne aprovecha la comunidad de piratería informática más grande y diversa del mundo para mantener la seguridad de las empresas al proporcionar una plataforma todo en uno para realizar pruebas de seguridad continuas y completas. La plataforma adopta un enfoque simplificado para encontrar y corregir errores al mismo tiempo que admite todo, desde la divulgación hasta el pago en un solo panel.

HackerOne es la plataforma de seguridad operada por piratas informáticos más grande del mundo. Más información sobre errores Programas de recompensas aquí y Contáctenos hoy para iniciar su primer programa de recompensas por errores.

What do you think?

Written by Helen Lafayette

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Cómo la primera API asistida por piratas informáticos de la industria ayuda a los piratas informáticos a automatizar los flujos de trabajo

Cómo usar HackerOne y PagerDuty para identificar cuándo las vulnerabilidades requieren acción