Seguindo os passos de outras grandes empresas da Internet, o Twitter começou a pagar recompensas para pesquisadores de segurança que encontrarem e relatarem, diretamente ao microblog, vulnerabilidades em seus serviços web e aplicativos móveis.
Nos últimos anos, os programas de recompensa por descoberta de bugs tornaram-se um complemento popular para as políticas de revisões de segurança de código e testes de penetração realizados pelos próprios administradores dos serviços.
A Google foi uma das primeiras empresas a lançar um programa de recompensa de descoberta de vulnerabilidades, em 2010, cobrindo todas as suas propriedades online, e já foi acompanhada por Facebook, PayPal, Yahoo e Mozilla.
"Estamos lançando um programa de recompensas para agradecer aos pesquisadores que reportarem questões de segurança de forma responsável", informou o Twitter nesta quarta-feira por meio da conta Twitter Segurança no microblog.
Para colocar o programa em prática, o Twitter optou por usar a plataforma HackerOne, também usada pelo Yahoo, CloudFlare, Automattic e outras empresas.
A HackerOne também suporta o Bounty Bug Internet, programa patrocinado pela Microsoft e Facebook para recompensar pesquisadores que encontrarem vulnerabilidades em software considerados críticos para a infraestrutura da Internet, como a biblioteca OpenSSL, os servidores Web Apache e Nginx e as linguagens de programação Ruby, Python, PHP e Perl.
O Twitter vai pagar pelo menos 140 dólares por vulnerabilidade encontrada em seus serviços twitter.com ou nos aplicativos iOS e Android. Os valores de recompensa podem variar, dependendo da gravidade das falhas relatadas. Não há limite pré-definido para o quão alto podem chegar, segundo o Twitter.
As recompensas cobrem vulnerabilidades que resultem em cross-site scripting (XSS), cross-site request forgery (CSRF), execução remota de código (RCE) ou acesso não autorizado aos tweets protegidos e mensagens diretas.
Mesmo antes do lançamento do programa oficial de recompensas, o Twitter já utilizava a HackerOne desde maio, período em que corrigiu mais de 40 bugs reportados através da plataforma. Mas o único reconhecimento público dado aos pesquisadores que relataram falhas diretamente para a empresa foi listá-los em sua página de segurança.
Programas de recompensa de bugs "são uma grande ferramenta - se bem feitos - para que as empresas controlem o processo de divulgação de falhas e incentivem os investigadores informar suas descobertas primeiro para seu pessoal de segurança", disse Carsten Eiram, da Risk Based Security, via e-mail . "Também estão sendo muito utilizados como ferramenta de PR, para mostrar que a empresa se preocupa com a segurança e trabalha com os pesquisadores", comenta.
Fonte: http://idgnow.com.br/internet/2014/09/06/twitter-lanca-programa-de-recompensas-por-descoberta-de-bugs
0 comentários:
Os comentários serão moderados antes de publicar! respondo todos, obrigado por comentar.