Dropbox presenta su programa de recompensas a reportes de bugs

Entre tantas nuevas amenazas e infecciones, les traemos una buena noticia: Dropbox lanzó su propio programa de recompensas para los investigadores que reporten vulnerabilidades. De esta forma, se suma a otras compañías que llevan adelante iniciativas similares, y fomenta el trabajo de la comunidad de especialistas interesados en mejorar la seguridad de los servicios y aplicaciones web.

Dropbox anunció que, en conjunto con HackerOne, abonará recompensas incluso para quienes hallaron bugs anteriormente y no fueron premiados. El bono mínimo será de 216 dólares para las fallas más pequeñas o menos severas, y si bien no hay un máximo establecido oficialmente, la recompensa más alta abonada hasta el momento es de 4.913 dólares.

Los productos contemplados en el programa son:

  • Las aplicaciones de Dropbox, Carousel y Mailbox para Android y iOS
  • Las aplicaciones web de Dropbox y Carousel
  • El cliente Dropbox para escritorio
  • Dropbox Core SDK
  • Además, se contemplará premiar hallazgos interesantes en otras aplicaciones

Quedan excluidas del programa vulnerabilidades como Cross-Site Scripting (XSS) contra dropboxusercontent.com, los foros o dominios que no sean de Dropbox; ataques que requieran acceso físico al dispositivo, y ataques cross-site request forgery (CSRF) en el inicio y cierre de sesión. Tal como indica The Register, se han eliminado 27 bugs hasta el momento.

El comunicado dice:

Mientras trabajamos con firmas profesionales para pentesting y hacemos nuestro propio testing in-house, el escrutinio independiente de nuestras aplicaciones ha sido un recurso invaluable para nuestro equipo -permitiendo aprovechar la experiencia de la comunidad de seguridad más amplia.

Hemos reconocido las contribuciones de los investigadores con los que hemos trabajado en un hall of fame público, y ahora estamos emocionados de ser también una de las muchas compañías que proveen recompensas monetarias. De hecho, estaremos recompensando retroactivamente a los investigadores que han reportado bugs críticos en nuestras aplicaciones a través de nuestro programa existente, pagando 10.475 dólares hoy.

Así, Dropbox sigue a otros grandes como Facebook y Google que también ofrecen atractivos programas de recompensa. Si quieren participar, les será de utilidad aprender cómo reportar una vulnerabilidad.

Créditos imagen: ©Margrit/Flickr

Autor , ESET

Síguenos