Noticias

Netflix inaugura un programa de recompensas público

Netflix ha lanzado un programa de recompensas público que permite que cualquier investigador explore las limitaciones de seguridad de la compañía con la promesa de ser recompensado por compartir esta información de forma responsable.

La medida es una ampliación del programa de publicación responsable de vulnerabilidades que inauguró en 2013 para facilitar a los investigadores la tarea de informar a Netflix sobre las fallas de seguridad que no habían sido tratadas.

La compañía también había estado dirigiendo un programa privado de recompensas de vulnerabilidades, pero sólo ahora se ha unido a Bugcrowd para abrir una plataforma pública que premie a los investigadores que se dan el trabajo de analizar Netflix en busca de vulnerabilidades.

Desde 2013, Netflix ha recibido 190 informes de vulnerabilidades, 145 de los cuales consideró válidos. Hasta ahora, la recompensa más grande fue de 15.000 US$ por una vulnerabilidad crítica que no se ha especificado.

Asimismo, su programa ha crecido de 100 investigadores a 700 en anticipación al lanzamiento del nuevo programa público de recompensas. “Hemos calibrado los detalles como la calidad del protocolo de intervención, el tiempo de respuesta y las interacciones de los investigadores para construir un programa de calidad en los que los investigadores disfruten participar”, dijo Netflix.

Además, los investigadores que denuncien amenazas válidas pasarán a formar parte del “Paseo de la fama de los investigadores de seguridad”, donde se publicarán sus nombres para darles el crédito correspondiente y la oportunidad de hacer alarde de su hazaña.

El nuevo programa de recompensas ofrece una plataforma de Bugcrowd que ayuda a Netflix a administrar la seguridad del programa, ayudándole a reclutar investigadores y calculando cuánto están dispuestos a pagar por los diferentes tipos de vulnerabilidades. Por ahora, la compañía ofrece recompensas que oscilan entre los 100 US$ y los 15.000 US$, dependiendo de la gravedad de las vulnerabilidades descubiertas.

Netflix está tratando de incentivar a los investigadores para que busquen vulnerabilidades de sitios cruzados y falsificaciones de petición, además de las inyecciones SQL, los problemas de autentificación y autorización, filtración de datos, redirección de ataques, ejecución remota de códigos, vulnerabilidades API para móviles y “vulnerabilidades ingeniosas o problemas únicos que no entren en ninguna categoría”.

“Nos entusiasma mucho el lanzamiento de nuestro programa público y espero que nos permita expandir nuestra comunidad de investigadores”, dijo la compañía.

Fuentes
Netflix launches bug bounty program to pay researchers to track down bugs • TechCrunch
Netflix opens public bug bounty • IT News
Netflix opens its public bug bounty program • Engadget

Netflix inaugura un programa de recompensas público

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada