¿Recuerdas el primer código que escribiste (probablemente, el programa Hello World) y cuántos errores cometiste en ese programa básico? Tal vez mucho, ya sean errores de sintaxis, errores de tiempo de ejecución o cualquier otro (¡No se preocupe, es el signo de grandes programadores!). De hecho, un error en el código fuente es una pesadilla para cualquier programador, pero también es cierto que sin estos errores y errores, el viaje de un programador está incompleto. Incluso a los programadores les encanta depurar el código, ya que no solo los hace competentes con ese programa, sino que también aprenden y exploran cosas nuevas. Y teniendo esto en cuenta, varias compañías ofrecen los Programas Bug Bounty que lo desafían a encontrar los errores en sus sistemas. Y sí, ¡también puede hacerte ganar algo de dinero!
Ahora, debe tener curiosidad por saber acerca de estos programas Bug Bounty. Un programa Bug Bounty es una especie de trato abierto entre las empresas y los desarrolladores (especialmente los piratas informáticos de sombrero blanco) para encontrar ciertos errores, vulnerabilidades de seguridad y otras vulnerabilidades en el sistema o producto de la organización. En caso de que una persona pueda encontrar estos errores en su sistema, se espera que lo informe a la empresa en nombre de la cual la empresa recompensa a la persona con reconocimiento y una cierta cantidad dedicada a los errores particulares. Básicamente, es una situación en la que todos ganan: la empresa y el hacker. Además de los beneficios monetarios, también hay varios otros beneficios para participar en los programas Bug Bounty, algunos de los cuales se mencionan a continuación:
- Te permite analizar tus conocimientos y habilidades en el mundo práctico.
- Ganar un programa Bug Bounty no solo le ofrece dinero, sino que también puede tener la oportunidad de unirse a la empresa como empleado de tiempo completo.
- Además, es completamente legal y ético, por lo que no hay necesidad de preocuparse por los aspectos legales.
Durante los últimos años, los programas Bug Bounty han experimentado una rápida tasa de crecimiento de popularidad y, en la actualidad, casi todas las empresas líderes, como Google , Facebook , Microsoft , etc., ofrecen estos programas. Ya que no solo recompensa las habilidades de los hackers de sombrero blanco, sino que también hace que el sistema de la empresa sea más seguro y libre de errores. Aquí, en este artículo, echemos un vistazo a los 5 mejores programas Bug Bounty en detalle.
1. Programa de recompensas por vulnerabilidad de Google
Al igual que en otros campos, Google es una de las empresas más populares cuando se trata del programa Bug Bounty. Y con la misma preocupación, ofrece un Programa de recompensas por vulnerabilidad de Google (VRP) para todos los hackers de sombrero blanco. Google ofrece este programa para que su contenido pertenezca a cualquiera de estos dominios: .google.com , .youtube.com y .blogger.com . Además, los errores en Google Cloud Platform y sus aplicaciones o extensiones desarrolladas también se incluyen en este programa. El programa cubre principalmente los problemas de diseño e implementación, como los errores de ejecución del código del lado del servidor, las secuencias de comandos entre sitios , etc., que van en contra de la seguridad de los datos del usuario.
El dinero de la recompensa por calificar el problema de errores oscila entre $100 y $31,337 según el impacto del problema informado. Sin embargo, para ganar el monto de la recompensa, debe identificar un error o una vulnerabilidad válidos según las pautas de la compañía, como problemas informados relacionados con la redirección de URL , la enumeración de usuarios , el proxy de contenido legítimo y el marco . etc., no le otorgan una recompensa monetaria (o incluso, puede que no califique).
2. Programa de recompensas por errores de Facebook
Facebook también es uno de los principales gigantes de TI que da la bienvenida y recompensa a los piratas informáticos o desarrolladores que creen que pueden sospechar alguna vulnerabilidad o error en el sistema de la empresa. Facebook ofrece este programa de recompensas por errores para los siguientes productos: Facebook , FBLite , Instagram , WhatsApp , proyectos de código abierto y otros productos adquiridos . Sin embargo, las aplicaciones o sitios de terceros que no son propiedad de Facebook no se incluyen en este programa. Aunque la vulnerabilidad en los sistemas de terceros que están integrados con Facebook y tiene un impacto potencial en los datos o sistemas de los usuarios de Facebook puede considerarse aplicable para el programa.
El dinero de la recompensa para el Programa de recompensas por errores de Facebook comienza en $500 y la cantidad aumenta según el impacto y el riesgo de explotación debido al error informado. Además, debe recordar que el error detectado no debe estar fuera del alcance, como ataques de denegación de servicio , spam o técnicas de ingeniería social , etc. y en contra de las pautas del programa.
3. Programa de recompensas por errores de Microsoft
A lo largo de los años, Microsoft ha introducido varios programas Bug Bounty para su amplia gama de productos y sistemas. El programa permite a los desarrolladores identificar y reportar errores o vulnerabilidades en los productos y servicios de Microsoft para obtener el dinero y el reconocimiento de la organización. Los programas se clasifican principalmente en 3 segmentos: Programas en la nube de Microsoft (Microsoft Azure, Xbox, etc.) , Programas de plataforma (Microsoft Hyper-V, Microsoft Edge, etc.) y Programas de defensa y subvenciones (Omisión de mitigación y Bounty for Defense, Grant : identidad de Microsoft) .
Microsoft ofrece las recompensas según el producto y el problema informado. Cada producto tiene su propio rango de dinero recompensado, como una recompensa máxima de hasta $300,000 por la vulnerabilidad informada en los servicios en la nube de Microsoft Azure , hasta $30, 000 por problemas informados en Windows Insider Preview y varios otros. Además, debe informar una vulnerabilidad junto con su explotación funcional, de lo contrario, será recompensado con una recompensa parcial.
4. Programa de recompensas por errores de Apple
Inicialmente, el programa de recompensas por errores de Apple se introdujo solo para 24 investigadores de seguridad, pero después de la expansión del marco, aumentó la necesidad de detectores de errores adicionales. El programa de recompensas por errores de la compañía se ocupa de la detección de vulnerabilidades en las últimas versiones disponibles públicamente de iOS , iPad OS , tvOS , macOS o watchOS con un esquema estándar. Además de las categorías de recompensas publicadas por la empresa, si encuentra alguna otra vulnerabilidad que tenga un impacto consecuente, se incluirá en el programa de recompensas.
El dinero de la recompensa por el programa de recompensas por errores de Apple depende del nivel de vulnerabilidad del problema informado. Sin embargo, se fija una cantidad máxima para casi todos los problemas, como $100,000 por acceso no autorizado a los datos de la cuenta de iCloud en los servidores de Apple , $250,000 por la extracción de datos del usuario , $100,000 por omitir la pantalla de bloqueo y varios otros. Además, si informa los problemas que la empresa aún desconoce, puede obtener una recompensa adicional del 50% .
5. Programa de recompensas por errores de Intel
Intel Corporation cree firmemente que la seguridad es el aspecto principal que debe tener en cuenta cualquier organización y, por la misma razón, ofrece un programa Bug Bounty para alentar a los investigadores a detectar cualquier error o vulnerabilidad en sus productos o sistemas. El programa Intel Bug Bounty se preocupa principalmente por el hardware de la empresa (microprocesadores, componentes de array de compuertas programables en campo, etc.) , el firmware (UEFI BIOS, Intel Compute Stick, NUC, etc.) y los segmentos de software (controladores de dispositivos, herramientas de desarrollo, etc.). Sin embargo, si los problemas o vulnerabilidades informados pertenecen a las versiones del producto que ya no cuentan con soporte activo o que Intel ya conoce o cualquier caso similar, se considerará no elegible para el programa.
El dinero de la recompensa por el programa Intel Bug Bounty oscila entre $500 y $100 000 según la naturaleza y el nivel de riesgo del problema informado. Intel gestiona el proceso de pago del programa Bug Bounty a través de la plataforma HackerOne. Además de la recompensa económica, la organización también reconoce públicamente al investigador en el momento de la revelación pública del problema denunciado.
Ahora, como ve que casi todas las organizaciones lo desafían a encontrar al menos un error en su sistema, ¿qué está esperando? ¡Simplemente reúna su arsenal de herramientas, sumérjase en la batalla y demuestre todo lo que está aprendiendo y sus habilidades!