Ir atrás de problemas pode lhe render um bom dinheiro. Pelo menos se essa caça for relacionadas a bugs de funcionamento e segurança. Tanto assim que do ano passado para cá o GitHub pagou mais de 1,5 milhão de dólares para caçadores de bugs.
Mais de meio milhão de dólares foram emitidos como recompensas para pesquisadores que participaram do programa de recompensa por bug do GitHub no ano passado, elevando os pagamentos totais para mais de US $ 1,5 milhão. Para quem ainda não sabe, o GitHub agora tem gerenciamento da Microsoft. Portanto, é a empresa quem opera o programa GitHub Security Bug Bounty.
Os programas de recompensa por bugs são agora uma maneira comum para os fornecedores obterem ajuda de pesquisadores terceirizados para proteger produtos e serviços. Anos atrás, às vezes era difícil divulgar os bugs em particular e muitas empresas não tinham um contato ou portal dedicado para relatórios de vulnerabilidade – mas agora, recompensas financeiras e de crédito são frequentemente oferecidas.
GitHub pagou mais de 1,5 milhão de dólares para caçadores de bugs
O fornecedor diz que 2020 “foi o ano mais movimentado até agora” para o programa do GitHub.
“De fevereiro de 2020 a fevereiro de 2021, lidamos com um volume maior de envios do que em qualquer ano anterior”, diz GitHub.
No total, 1.066 relatórios de bugs foram enviados por meio do programa público e privado do GitHub – o último dos quais se concentra em produtos beta e de pré-lançamento – ao longo do ano, e US $ 524.250 foram concedidos para 203 vulnerabilidades. Desde 2016, quando o GitHub lançou seu programa público no HackerOne, as recompensas agora chegam a US$ 1.552.004.
O escopo do programa do GitHub inclui vários domínios e destinos de propriedade do GitHub, como a API do GitHub, Actions, Pages e Gist. Problemas críticos, incluindo execução de código, ataques de SQL e táticas de desvio de login, podem render aos pesquisadores até US $ 30.000 por relatório.
O GitHub também opera de acordo com o princípio Safe Harbor, no qual os caçadores de recompensas de insetos que aderem às políticas de divulgação responsável são protegidos de quaisquer ramificações legais potenciais de sua pesquisa.
A empresa diz que, no ano passado, um envio de redirecionamento aberto universal tornou-se seu bug “favorito”. William Bowling conseguiu desenvolver uma exploração que aproveitou os manipuladores de solicitação para acionar um redirecionamento aberto e também comprometer os fluxos OAuth do usuário Gist.
O relatório rendeu a Bowling uma recompensa de US $ 10.000.
Outras mudanças
O GitHub também se tornou uma CVE Number Authority (CNA) em 2020 e começou a emitir CVEs para vulnerabilidades no GitHub Enterprise Server.
Em notícias relacionadas ao GitHub, no início deste mês a organização atualizou suas políticas de compartilhamento de software e código que não só pode ser usado para conduzir pesquisas de segurança, mas também pode ser adotado por invasores.
O GitHub atualizou seus termos para eliminar a linguagem “excessivamente ampla” usada para descrever o software de “uso duplo”, incluindo ferramentas como o Mimikatz, para “permitir explicitamente” o compartilhamento e remover o risco de qualquer acusação de hostilidade contra ameaças genuínas e pesquisas de segurança cibernética.
Via ZDNet