miércoles, 31 de agosto de 2011

Facebook: Van $40,000 dólares en pagos por reportes de vulnerabilidades


Facebook  ya ha tenido que desembolsar la friolera de $40,000 dólares  a investigadores en seguridad IT como pagos por sus  reportes de vulnerabilidades en el sistema.  Esto a poco menos de 20 días de que haber  lanzado el programa de recompensas por fallas de seguridad (bug bounty program).

El programa, en el que ofrecía $500 dólares a quien lograra encontrar algún tipo de vulnerabilidad en el sitio web,  ha resultado todo un éxito para Facebook según explicó en el blog de seguridad, Joe Sullivan, jefe de seguridad de la red social. “El programa ha sido magnífico, ya que ha hecho que nuestro sitio sea más seguro – sacando a la superficie vulnerabilidades grandes y pequeñas, nos ha dado a conocer nuevos vectores de ataque y de esta forma nos ayuda a mejorar algunos ángulos de nuestro código”.
Facebook fue muy discreto en el lanzamiento del programa por eso es que muchos investigadores pensaron que $500 dólares era la cantidad máxima a pagar, sin embargo es la mínima. Tan sólo un experto en seguridad ha recibido $7,000 dólares por seis reportes de vulnerabilidades encontradas.
Asimismo, a una persona se le otorgaron $5,000 dólares de recompensa, por un sólo reporte muy bien hecho. Sullivan menciona que han tenido que lidiar con pseudo reportes de gente que lo único que busca es hacerse publicidad.

“Hemos creado este programa, de recompensas por encontrar vulnerabilidades, en un esfuerzo por reconocer y premiar a estas personas y por animar a otros a unirse”, escribió Sullivan.
Para poder presentar un reporte es necesario seguir las políticas del programa. Ser el primero en descubrir la vulnerabilidad es una de las más importantes, así como no residir en países como Corea del Norte, Libia, Cuba, entre otros.

Las fallas que se pueden reportar son las que comprometan la integridad o la privacidad de los datos de los usuarios como:
  • Cross-Site Scripting (XSS)
  • Cross-Site Request Forgery (CSRF/XSRF)
  • Ejecución de código remoto
El equipo de seguridad de Facebook evaluará cada fallo que le sea enviado para determinar si reúne los requisitos.

Fuente:  http://www.bsecure.com.mx/featured/facebook-ha-pagado-40000-dolares-por-vulnerabilidades-encontradas/?utm_medium=twitter&utm_source=twitterfeed
Publicado por Jack en 1:17

0 comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)