A Cloudflare lançou um programa novo de recompensas por bugs. A empresa norte-americana tem como foco principal a infraestrutura da web e segurança de sites.
“Hoje estamos lançando o programa público pago de recompensas por bugs da Cloudflare”, disse Rushil Shah, engenheiro de segurança de produtos da Cloudflare.
Acreditamos que as recompensas por bugs são uma parte vital da caixa de ferramentas de cada equipe de segurança e temos trabalhado duro para melhorar e expandir nosso programa privado de recompensas de bugs nos últimos anos.
Cloudflare lança novo programa de recompensas por bugs
O novo programa público de recompensas por bugs substitui um outro de 2014 que previa a divulgação de vulnerabilidades, porém, não havia recompensas em dinheiro. Por meio desse programa, a Cloudflare recebeu 1.197 relatórios. No entanto, apenas 13% deles eram válidos. Isso porque os pesquisadores estavam lutando para entender sua infraestrutura e produtos.
Em 2018, a Cloudflare lançou outro programa privado de recompensas por bugs focado em fornecer uma experiência melhor para os pesquisadores. Em meados de janeiro de 2022, a Cloudflare já concedeu ao todo US$ 211.512 em recompensas por vulnerabilidades. Deste total, cerca de US$ 4.500 foram pagos em 2018. Em 2021, o valor chegou a US$ 101.075.
A empresa também lançou um sandbox de teste chamado CumlusFire antes de anunciar o novo programa de recompensas público. Desta vez, a Cloudflare fornece aos caçadores de bugs um espaço padronizado para testar explorações.
Como funciona o novo programa de recompensas de bugs da Cloudflare
A partir de agora, os cientistas poderão relatar as falhas de segurança encontradas nos produtos Cloudflare por meio do site do novo programa público de recompensas de bugs da empresa. A hospedagem é na plataforma HackerOne.
Os pesquisadores podem encontrar mais informações sobre os produtos da Cloudflare usando a documentação do desenvolvedor da empresa, a documentação da API, o Centro de aprendizado e os materiais encontrados nos fóruns de suporte da Cloudflare.
Existe uma tabela mostrando a divisão dos prêmios de recompensa para alvos com base na classificação de gravidade CVSS3 dos problemas.
| Gravidade | Crítico (9,0 – 10,0) | Alta (7,0 – 8,9) | Médio (4,0 – 6,9) | Baixo (0,1 – 3,9) |
|---|---|---|---|---|
| Alvos principais | $ 3.000 | $ 1.000 | $ 500 | $ 250 |
| Alvos Secundários | US$ 2.700 | $ 750 | $ 350 | $ 200 |
| De outros | $ 2.100 | $ 500 | $ 200 | $ 100 |
Dependendo dos fatores atenuantes de uma vulnerabilidade e da avaliação de risco comercial da Cloudflare, os problemas relatados podem receber uma classificação de gravidade mais baixa.
Assim como aumentamos nosso programa privado, continuaremos a desenvolver nosso programa público de recompensas por bugs para fornecer a melhor experiência aos pesquisadores, acrescentou Shah.
Nosso objetivo é adicionar mais documentação, plataformas de teste e uma maneira de interagir com nossas equipes de segurança para que os pesquisadores possam ter certeza de que seus envios representam problemas de segurança válidos.
Via BleepingComputer