Post74 nn

Los programas de bug bounty nacen del nuevo giro y forma de relacionarse con los hackers ya que hace muchos años los hackers que encontraran una vulnerabilidad y compartieron sus descubrimientos con los creadores eran premiados con un "Gracias" o en el peor de los casos una demanda legal por no tener permitido explorar en lugares donde no debían. 

Dada esta necesidad y de ver el crecimiento de las vulnerabilidades que surgen en el mercado muchas empresas han decidido optar por un sistema de recompensas donde cualquier investigador pueda buscar vulnerabilidades y pueda compartirlas de forma ética para que puedan solucionarlas.

Es bueno aclarar que para participar en estos programas se deben seguir una serie de normas que pone la empresa para asegurar la integridad de su información y aclarar qué tipos de vulnerabilidades serán premiadas y la manera de interactuar. 

Si no se siguen estas reglas posiblemente se consiga una sanción por parte de esta.

La popularidad de estos programas ha hecho que entes gubernamentales como la CIA , Interpol y FBI tengan su propio programa de bug bounty en algunas ocasiones y por tiempo limitado.


Ventajas como empresa


* Recompensas económicas más baratas

* Miles de investigadores analizando tu actividad

* Bajo costo a comparación de contratar consultores externos


Programas de Bug Bounty 


Hackerone.com

* Synack.com (Ex empleado de la NSA)
* Bugcrowd.com


Empresas inscritas en estos programas


Evolución del bug bounty


Fundación Mozilla cuenta con uno de los programas bug bounty más antiguos que empezó en el año 2004 pagando a los investigadores que localizaron fallos críticos en su navegador. Actualmente se pueden encontrar recompensas de 3000 a 1000$ que ha invertido la fundación mozilla a este tipo de programas.


Mozilla Security Bug Bounty!


Google no es de extrañar que este gigante lanzará su programa de bug bounty con el nombre de Google Vulnerability reward program en donde se ofrecen recompensas de hasta 30,000 $. Si alguien quiere participar de este programa deberá registrarse en https://bughunter.withgoogle.com/.


Google Appsecurity Reward Program


Facebook también se encuentra en este programa de bug bounty y ofrecen una recompensa de 500 $ como mínimo y no cuentan con una recompensa máxima ya que dependerá de la vulnerabilidad que se haya encontrado.


Facebook Bug Bounty



Microsoft este gigante también se encuentra activo con programas de bug bounty donde ofrecen una gran remuneración a quien logre encontrar alguna vulnerabilidad en sus servicios.


Microsoft.com Bug Bounty


Github una de las plataformas más robustas de almacenamiento y controlador de versiones también cuenta con su programa de recompensas.


Bounty Github


Cómo me inicio en el bug bounty


Una de las maneras más fáciles es la plataforma Hackerone que nos permite interactuar y reportar varios errores a los programas de recompensas y gestionar hasta el pago por la misma plataforma.


Página principal de hackerone


Registro en hackerone



Programa de recompensas de yahoo!


Los invito a participar de estos programas y que puedan empezar a compartir sus investigaciones y ganar algo a cambio de su trabajo



Artículos que te pueden interesar