Facebook paga una recompensa generosamente

facebook-bounty

La empresa de Mark Zuckerberg ha pagado 33,500 dólares por un “bug” de seguridad y es la recompensa más alta que Facebook ha pagado por algo similar.  El valor de lo pagado refleja probablemente la severidad potencial del error encontrado. El programa “Bug Bounty” se inició en el 2011 y en sus propias palabras: “reconoce y compensa a los investigadores de la seguridad”.

Facebook atrajo mucha atención de publicidad negativa cuando el año pasado se negó a pagar una recompensa a un investigador de seguridad quien puso un mensaje en la página personal de Zuckerberg para demostrar la existencia del problema. Su enfoque, sin embargo, a los ojos de Facebook, fue irresponsable en su manera de actuar, en el procedimiento.

Este último pago de un “botín” fue al ingeniero brasileño Reginaldo Silva, por reportar un bug en una entidad XML externa (XXE), la cual permitía la lectura de un archivo arbitrario. Cabe notarse que en este caso quedó claro cómo se debe interactuar con el equipo de seguridad de Facebook. Silva rebasó por mucho el récord del pago anterior que se había hecho por hallar una falla en la seguridad, el cual había sido de 20,000 dólares.

Facebook ha indicado en un mensaje que la cantidad pagada refleja no solamente la severidad del problema, sino la forma en que fue presentado, rápido y con detalles suficientes para poder reproducirlo en primera instancia, después escalarlo en forma teórica, como el mejor hacker ético, como la manera de discutir cooperativamente con el equipo que otorga estas recompensas en Facebook.

Referencias:

Facebook Bug Bounty

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s