Netflix ha lanzado un programa de recompensas público que permite que cualquier investigador explore las limitaciones de seguridad de la compañía con la promesa de ser recompensado por compartir esta información de forma responsable.
La medida es una ampliación del programa de publicación responsable de vulnerabilidades que inauguró en 2013 para facilitar a los investigadores la tarea de informar a Netflix sobre las fallas de seguridad que no habían sido tratadas.
La compañía también había estado dirigiendo un programa privado de recompensas de vulnerabilidades, pero sólo ahora se ha unido a Bugcrowd para abrir una plataforma pública que premie a los investigadores que se dan el trabajo de analizar Netflix en busca de vulnerabilidades.
Desde 2013, Netflix ha recibido 190 informes de vulnerabilidades, 145 de los cuales consideró válidos. Hasta ahora, la recompensa más grande fue de 15.000 US$ por una vulnerabilidad crítica que no se ha especificado.
Asimismo, su programa ha crecido de 100 investigadores a 700 en anticipación al lanzamiento del nuevo programa público de recompensas. “Hemos calibrado los detalles como la calidad del protocolo de intervención, el tiempo de respuesta y las interacciones de los investigadores para construir un programa de calidad en los que los investigadores disfruten participar”, dijo Netflix.
Además, los investigadores que denuncien amenazas válidas pasarán a formar parte del “Paseo de la fama de los investigadores de seguridad”, donde se publicarán sus nombres para darles el crédito correspondiente y la oportunidad de hacer alarde de su hazaña.
El nuevo programa de recompensas ofrece una plataforma de Bugcrowd que ayuda a Netflix a administrar la seguridad del programa, ayudándole a reclutar investigadores y calculando cuánto están dispuestos a pagar por los diferentes tipos de vulnerabilidades. Por ahora, la compañía ofrece recompensas que oscilan entre los 100 US$ y los 15.000 US$, dependiendo de la gravedad de las vulnerabilidades descubiertas.
Netflix está tratando de incentivar a los investigadores para que busquen vulnerabilidades de sitios cruzados y falsificaciones de petición, además de las inyecciones SQL, los problemas de autentificación y autorización, filtración de datos, redirección de ataques, ejecución remota de códigos, vulnerabilidades API para móviles y “vulnerabilidades ingeniosas o problemas únicos que no entren en ninguna categoría”.
“Nos entusiasma mucho el lanzamiento de nuestro programa público y espero que nos permita expandir nuestra comunidad de investigadores”, dijo la compañía.
Fuentes
Netflix launches bug bounty program to pay researchers to track down bugs • TechCrunch
Netflix opens public bug bounty • IT News
Netflix opens its public bug bounty program • Engadget
Netflix inaugura un programa de recompensas público