Programa de recompensas por errores de Apple, Facebook, Google y Oneplus

Un programa de recompensas por errores es un acuerdo ofrecido por muchos sitios web, organizaciones y desarrolladores de software particularmente prominentes, por el cual las personas pueden recibir reconocimiento y, lo más importante, una compensación considerable por informar sobre errores, especialmente aquellos relacionados con exploits y vulnerabilidades. Entre los gigantes que ofrecen este programa se encuentran Apple, Facebook, Google y Oneplus.

Programa de recompensas por errores

Apple

En 2016, el programa de recompensas por errores ofrecido por Apple estaba restringido a iOS y solo por invitación. Apple ha abierto ahora su programa de recompensas por errores a todos los investigadores de seguridad, ofreciendo recompensas de $1 millón o más. El programa está abierto al público y Apple ha anunciado que iCloud, iPadOS, macOS, tvOS y watchOS estarán en la lista de recompensas por errores.

Las recompensas lucrativas también requieren una descripción exhaustiva y detallada del problema por parte del investigador, y suficiente detalle para permitir a Apple reproducirlo. Los pagos se determinan por los errores descubiertos en diferentes niveles, aquellos encontrados en múltiples plataformas de Apple, especialmente si el problema afecta a los últimos dispositivos y software de Apple, todos entran en los pagos más altos.

Los errores encontrados en la versión beta de un software otorgan al investigador un bono del 50 por ciento junto con el precio estándar de recompensa. Otros pagos potenciales son por eludir pantallas de bloqueo, extraer datos de dispositivos bloqueados y acceso no autorizado a iCloud. El que más paga entre estos es el de los investigadores que son capaces de tomar el control total del dispositivo sin ninguna interacción por parte del usuario.

Aunque el programa de recompensas por errores de Apple está un poco desactualizado, sigue siendo uno de los programas de recompensas por errores más lucrativos incluso después de los numerosos nuevos que varios gigantes tecnológicos han tenido abiertos al público desde el principio.

Ver aquí

Facebook

Facebook ha sido muy notorio en lo que respecta a sus políticas de privacidad, y por ello ha estado en las noticias mucho. Así que el programa de recompensas por errores fue muy bien justificado y lanzado en 2011. Cualquiera puede enviar un informe y recibir una recompensa por ayudar a asegurar los sistemas de una empresa.

El programa de recompensas ofrecido por Facebook es uno de los más antiguos y maduros en la industria, ha acumulado un total de aproximadamente $8 millones en pagos. El abuso de datos es una gran preocupación para Facebook e incluso los desarrolladores de terceros asociados con Facebook son examinados por lo mismo, los investigadores pueden entonces informar lo mismo y ser recompensados en consecuencia.

Ver aquí

Google

El programa de recompensas por errores de Android de Google se introdujo en 2015, recompensando a los investigadores que encuentran e informan problemas de seguridad para ayudar a mantener seguro el ecosistema de Android. Este programa cubre vulnerabilidades descubiertas en los dispositivos Pixel, así como en las últimas versiones de Android.

La recompensa más lucrativa ofrecida bajo este programa es de $1 millón en relación con el chip Titan M de Google, pero la recompensa aún no ha sido reclamada ya que la distribución de la recompensa tiene un aspecto discrecional y ciertos términos y condiciones adjuntos. Algunos de los factores relacionados con la recompensa, además de la discreción del comité en el lugar, son:

• Un informe detallado que describa cómo funciona el exploit.
• El vector de ataque inicial (es decir, explotación remota frente a local).
• Si el exploit es específico de dispositivo o versión, o si funciona en un amplio conjunto de versiones y dispositivos.
• La cantidad de interacción del usuario requerida para que el exploit funcione.
• Si el usuario podría detectar razonablemente que un exploit está en progreso o completado.
• Qué tan confiable es el exploit.
• Las cadenas de exploits encontradas en versiones específicas de vista previa para desarrolladores de Android son elegibles para un bono adicional de hasta el 50 por ciento.

Google ha estado causando sensación en el campo de la ciberseguridad, ya que solo en 2019, ha pagado más de $1.5 millones en recompensas por errores, donde el pago más alto fue de $161,337.

Ver aquí

OnePlus

OnePlus tiene dos programas de recompensas por errores diferentes disponibles que ofrecen pagos considerables, el primero siendo el centro de respuesta de seguridad de OnePlus, el programa pagará entre $50 y $7,000 por los errores de seguridad que los investigadores puedan encontrar dentro de Oxygen OS. La recompensa está abierta a cualquiera y todos, solo necesitas descubrir el error de OnePlus y luego enviar un formulario en línea describiendo el problema junto con una prueba de concepto y el informe de errores no debe ser plagiado.

El segundo programa de recompensas se lleva a cabo en asociación con una plataforma de seguridad llamada HackerOne. En este, solo investigadores seleccionados de HackerOne probarán los productos de OnePlus en busca de posibles amenazas de seguridad en un entorno privado. Aunque se dice que el programa estará abierto al público en 2020.

OnePlus ha sido reputado por proporcionar una experiencia segura y sin fallos, más o menos, pero a la luz de los fracasos en los lanzamientos de Android 10 en los dispositivos OnePlus, el programa de recompensas por errores es muy útil.

Además de estos gigantes, muchas otras empresas tecnológicas han estado lanzando el programa de recompensas por errores en estos días donde las preocupaciones de seguridad están en un récord alto, esto asegura que las personas sean compensadas por superar las lagunas mientras mantienen la seguridad de los sistemas creados por estas empresas tecnológicas.

Ver aquí