Programa de Bug Bounty da Apple, Facebook, Google e Oneplus

Um programa de bug bounty é um acordo oferecido por muitos sites, organizações e desenvolvedores de software proeminentes, pelo qual indivíduos podem receber reconhecimento e, mais importante, uma compensação significativa por relatar bugs, especialmente aqueles relacionados a exploits e vulnerabilidades. Entre os gigantes que oferecem este programa estão Apple, Facebook, Google e Oneplus.

Programa de Bug Bounty

Apple

Em 2016, o programa de bug bounty oferecido pela Apple foi restrito ao iOS e apenas por convite. A Apple agora abriu seu programa de bug bounty para todos os pesquisadores de segurança, oferecendo recompensas de US$ 1 milhão ou mais. O programa está aberto ao público e a Apple anunciou que iCloud, iPadOS, macOS, tvOS e watchOS estariam na lista de bug bounty.

As recompensas lucrativas também exigem uma descrição detalhada e minuciosa do problema por parte do pesquisador, e detalhes suficientes para permitir que a Apple o reproduza. Os pagamentos são determinados pelos bugs descobertos em diferentes níveis, aqueles encontrados em várias plataformas da Apple, especialmente se o problema afetar os últimos dispositivos e softwares da Apple, todos entram nas principais recompensas.

Bugs encontrados na versão beta de um software concedem ao pesquisador um bônus de 50% junto com o preço padrão da recompensa. Outros pagamentos potenciais são por contornar telas de bloqueio, extrair dados de dispositivos bloqueados e acesso não autorizado ao iCloud. O pagamento mais alto entre esses é para os pesquisadores que são capazes de assumir o controle total do dispositivo sem qualquer interação do lado do usuário.

Embora o programa de bug bounty da Apple esteja um pouco desatualizado, ainda é um dos programas de bug bounty mais lucrativos, mesmo após os numerosos novos que vários gigantes da tecnologia abriram ao público desde o início.

Confira Aqui

Facebook

O Facebook tem sido muito notório em relação às suas políticas de privacidade, e por isso tem estado nas notícias com frequência. Assim, o programa de bug bounty foi muito bem justificado e lançado em 2011. Qualquer um pode enviar um relatório e receber uma recompensa por ajudar a proteger os sistemas de uma empresa.

O programa de recompensas oferecido pelo Facebook é um dos mais antigos e maduros da indústria, totalizando cerca de US$ 8 milhões em pagamentos. O abuso de dados é uma preocupação importante para o Facebook e até mesmo os desenvolvedores de terceiros associados ao Facebook são scrutinados por isso, os pesquisadores podem então relatar o mesmo e ser recompensados de acordo.

Confira Aqui

Google

O programa de recompensas de bug bounty do Android do Google foi introduzido em 2015, recompensando os pesquisadores que encontram e relatam problemas de segurança para ajudar a manter o ecossistema Android seguro. Este programa cobre vulnerabilidades descobertas nos dispositivos Pixel, bem como nas versões mais recentes do Android.

A recompensa mais lucrativa oferecida sob este programa é de US$ 1 milhão em relação ao chip Titan M do Google, mas a recompensa ainda não foi reivindicada, pois a distribuição da recompensa tem um aspecto discricionário e certos termos e condições anexados a ela. Alguns dos fatores relacionados à recompensa, além da discrição do comitê no local, são:

• Um relato detalhado descrevendo como o exploit funciona.
• O vetor de ataque inicial (ou seja, exploração remota versus local).
• Se o exploit é específico de dispositivo ou versão, ou se funciona em um conjunto amplo de versões e dispositivos.
• A quantidade de interação do usuário necessária para que o exploit funcione.
• Se o usuário poderia detectar de forma viável que um exploit está em andamento ou concluído.
• Quão confiável é o exploit.
• Cadeias de exploits encontradas em versões específicas de desenvolvedor do Android são elegíveis para até um bônus adicional de 50% na recompensa.

O Google tem causado impacto no campo da cibersegurança, pois em 2019 sozinho, pagou mais de US$ 1,5 milhão em bug bounty, onde o pagamento mais alto foi de US$ 161.337.

Confira Aqui

OnePlus

A OnePlus tem dois programas de bug bounty diferentes disponíveis que oferecem pagamentos significativos, o primeiro sendo o centro de resposta de segurança da OnePlus, o programa pagará entre US$ 50 a US$ 7.000 pelos bugs de segurança que os pesquisadores podem encontrar dentro do Oxygen OS. A recompensa está aberta a qualquer um e todos, tudo o que você precisa fazer é descobrir o bug da OnePlus e, em seguida, enviar um formulário online descrevendo o problema junto com a prova de conceito e o relatório de bug não deve ser plagiado.

O segundo programa de recompensas é executado em parceria com uma plataforma de segurança chamada HackerOne. Onde, apenas pesquisadores selecionados da HackerOne testarão produtos da OnePlus em busca de potenciais ameaças de segurança em um ambiente privado. Embora se diga que o programa estará aberto ao público em 2020.

A OnePlus tem a reputação de fornecer uma experiência segura e sem falhas, mas à luz da falha nos lançamentos do Android 10 em dispositivos OnePlus, o programa de bug bounty é muito útil.

Além desses gigantes, muitas outras empresas de tecnologia têm lançado o programa de bug bounty atualmente, onde as preocupações de segurança estão em um nível recorde, isso garante que as pessoas sejam compensadas por superar as falhas enquanto mantêm a segurança dos sistemas feitos por essas empresas de tecnologia.

Confira Aqui