O que é Bug Bounty?
Bug Bounty são programas de recompensas de bugs oferecidos por muitos sites, empresas e desenvolvedores de software pelo qual os hackers podem receber reconhecimento e compensação por relatar bugs, especialmente aqueles relativos a explorações e vulnerabilidades, são os chamados Exploit Zero-Day.
Esses programas permitem que os desenvolvedores descubram e resolvam bugs antes que o público em geral esteja ciente deles, evitando incidentes de abuso generalizado. Programas de recompensa de bugs foram implementados por um grande número de organizações dentre elas:
- Mozilla;
- Facebook;
- Yahoo!;
- Google;
- Reddit;
- Square;
- Microsoft.
Empresas fora do setor de tecnologia, incluindo organizações tradicionalmente conservadoras como o Departamento de Defesa dos Estados Unidos, começaram a usar programas de recompensas de bugs.
O uso de programas de recompensas pelo Pentágono faz parte de uma mudança postural que fez com que várias agências governamentais dos EUA rejeitassem os hackers White Hat (segurança da informação) com recurso legal para convidá-los a participar como parte de uma estrutura abrangente de divulgação de vulnerabilidades ou política.
Em contra partida, no geral, o termo foi aplicado a problemas abertos em matemática e pesquisa em ciência da computação, que também oferecem somas significativas para suas soluções.
Violações de Política de Divulgação de Vulnerabilidade
Em agosto de 2013, um estudante de Ciência da Computação chamado Khalil usou uma façanha para postar uma carta na linha do tempo do Facebook do fundador do site, Mark Zuckerberg. De acordo com o hacker, ele tentou denunciar a vulnerabilidade usando o programa de recompensas de bugs do Facebook, mas por causa do relatório vago e incompleto, a equipe de resposta disse a ele que sua vulnerabilidade não era realmente um bug.
O Facebook começou a pagar pesquisadores que encontram e relatam bugs de segurança emitindo cartões de débito “White Hat” de marca personalizada que podem ser recarregados com fundos cada vez que os pesquisadores descobrem novas falhas.
“Pesquisadores que encontram bugs e melhorias de segurança são raros, e nós os valorizamos e temos que encontrar formas de recompensá-los”, disse Ryan McGeehan, ex-gerente da equipe de resposta de segurança do Facebook, à CNET em uma entrevista.
Em 2016, a empresa de compartilhamento de carona Uber sofreu um incidente de segurança quando um indivíduo acessou as informações pessoais de 57 milhões de usuários Uber em todo o mundo.
O indivíduo supostamente exigiu um resgate de US$ 100.000 para destruir os dados dos usuários. Em depoimento no Congresso, a Uber CISO indicou que a empresa verificasse se os dados haviam sido destruídos antes de pagar os US$ 100.000. O Sr. Flynn lamentou que a Uber não tenha divulgado o incidente em 2016. Como parte de sua resposta a esse incidente, a Uber trabalhou com a parceira HackerOne para atualizar as políticas do programa de recompensas de bugs.
A Índia, que tem o primeiro ou o segundo maior número de caçadores de bugs no mundo. Dependendo de qual relatório cita, também é o melhor no Facebook Bug Bounty Program com o maior número de bugs válidos.
“A Índia ficou no topo com o número de inscrições válidas em 2017, com os Estados Unidos, Trinidad e Tobago em segundo e terceiro lugares, respectivamente”, citou o Facebook em um post.
O Yahoo foi severamente criticado por enviar camisetas como recompensa aos Pesquisadores de segurança por encontrarem e relatarem vulnerabilidades no Yahoo, provocando o que veio a ser chamado de T-shirt-gate.
Eventualmente, o Yahoo lançou seu novo programa de recompensas de bugs em 31 de outubro do mesmo ano, que permite que pesquisadores de segurança enviem bugs e recebam recompensas entre US$ 250 e US$ 15.000, dependendo da gravidade do bug descoberto.
Programas Notáveis
Em outubro de 2013, o Google anunciou uma grande mudança no seu Programa de Recompensa de Vulnerabilidade. Anteriormente, havia sido um programa de bugs cobrindo muitos produtos do Google.
Com a mudança, no entanto, o programa foi ampliado para incluir uma seleção de bibliotecas e aplicativos de software livre de alto risco, principalmente aqueles projetados para rede ou para funcionalidades de sistema operacional de baixo nível.
O Google considerou que seriam elegíveis para prêmios os valores que variam de US$ 500 a US$ 3133,70. Em 2017, o Google expandiu seu programa para cobrir vulnerabilidades encontradas em aplicativos desenvolvidos por terceiros e disponibilizados pela Google Play Store.
Da mesma forma, a Microsoft e o Facebook se uniram em novembro de 2013 para patrocinar o The Internet Bug Bounty, um programa para oferecer recompensas por reportar hacks e exploits para uma ampla gama de softwares relacionados à Internet. Em 2017, GitHub e The Ford Foundation patrocinaram a iniciativa, que é gerenciada por voluntários da Uber, Microsoft, Facebook, Adobe e HackerOne.
O Open Bug Bounty é um programa de recompensas de bugs de segurança para multidões criado em 2014 que permite aos indivíduos postar vulnerabilidades de segurança de sites na esperança de receber uma recompensa dos operadores de sites afetados.
[button href=”https://en.wikipedia.org/wiki/Bug_bounty_program” type=”btn-default” size=”btn-sm”]Fonte[/button]