Las recompensas por errores permiten que las personas que descubren fallas de seguridad en el software y los servicios informáticos sean recompensadas con dinero. Entonces, ¿qué se necesita para ser un cazarrecompensas de insectos? ¿Puedes ganarte la vida haciéndolo?
El software y los servicios que usamos todos los días están escritos por seres humanos, a menudo bajo presión para poner en marcha su código para que la empresa pueda ganar dinero. Si bien los métodos modernos de desarrollo de software dan como resultado un software con muy pocos problemas graves, no hay forma de que un pequeño grupo de desarrolladores prevea todas las posibilidades o vea cada error.
Compare esto con el ejército de piratas informáticos que buscan cada grieta posible en la armadura de ese código, y está claro por qué los programas de recompensas por errores son necesarios. Estos programas ofrecen una recompensa a las personas que descubren una vulnerabilidad creíble u otro tipo de problema calificado en las aplicaciones y los servicios proporcionados.
En principio, no importa quién descubra una vulnerabilidad o un exploit. Lo importante es que la empresa lo sepa y arregle el problema antes de que provoque un daño real. En la práctica, las recompensas por errores suelen ser reclamadas por investigadores de seguridad profesionales. Estos son especialistas que intencionalmente intentan encontrar debilidades en los sistemas y reciben recompensas pagadas o por adelantado para hacer » pruebas de penetración » para una empresa.
Eso no significa que no pueda informar uno si lo encuentra, pero debe buscar los requisitos para el envío y ver si tiene la información técnica necesaria para informar el problema.
El proceso para reclamar una recompensa por errores y lo que lo califica para recibir el pago difiere de un programa a otro. La empresa en cuestión establece las reglas de lo que considera un problema por el que vale la pena pagar. También establecerá el formato adecuado para informar ese problema, junto con todo lo que necesita saber para replicar y verificar el problema.
La cantidad de dinero que vale un informe verificado también será diferente. Algunas empresas son enormes, con grandes presupuestos para seguridad. Otros son pequeñas empresas o nuevas empresas que dependen de los programas de recompensas por errores para compensar su complemento de personal de seguridad cibernética permanente relativamente pequeño. En ese caso, las recompensas podrían ser más modestas.
El primer lugar para comprobar si se encuentra con una vulnerabilidad notificable es el sitio web de la empresa que fabrica el producto u ofrece el servicio en cuestión. Por lo general, solo las empresas muy grandes ejecutan y administran sus propios programas de recompensas por errores.
Es más probable que los equipos más pequeños utilicen servicios especializados de recompensas por errores. Por ejemplo, la lista de programas de recompensas por errores de HackerOne promueve programas de varias empresas que se administran a través del sitio.
Si visitó la lista de recompensas por errores de HackerOne vinculada anteriormente, es posible que haya notado que cada programa enumera una cantidad mínima de recompensa. Si abre uno de los programas, verá estadísticas sobre el pago de recompensa promedio, así como los niveles de recompensa, según la gravedad de la vulnerabilidad.
Los problemas de gravedad baja, media y alta pueden generar entre unos cientos y miles de dólares, mientras que las vulnerabilidades críticas pueden generar varios miles de dólares.
Ha habido algunas recompensas verdaderamente asombrosas pagadas a lo largo de los años y ofertas masivas , pero estas son algo así como ganar la lotería. Tienes que ser el que encuentre un exploit uno en un millón y tiene que estar en el sistema de un gran jugador que tiene ese tipo de efectivo. Si desea ganarse la vida con las recompensas de errores, es más probable que obtenga un ingreso constante de pequeños errores comunes que surgen a través de pruebas de penetración sistemáticas.
El mundo del gaming ha experimentado un crecimiento exponencial en los últimos años. La…
Stokkete/Shutterstock.com ¿Sigue utilizando una unidad flash USB obsoleta para almacenar sus archivos? ¿Por qué no…
LG Los fabricantes siempre intentan mejorar el rendimiento de imagen de los monitores. Como resultado,…
Patty Chan/Shutterstock.com Si cree en lo que ve en las redes sociales, puede pensar en…
Seksan.TH/Shutterstock.com Los servicios de suscripción como Netflix, Game Pass y Spotify nos permiten consumir tantas…
fatmawati achmad zaenuri/Shutterstock El acceso a Internet, oa cualquier otra red, se rige por la…