Hace ahora dos años, en mayo de 2014, Twitter puso en marcha su programa de "cazadores de bugs". Se trata de un programa similar al de otras empresas tecnológicas, que ofrece recompensas económicas a expertos en seguridad, hackers (o incluso niños) que encuentran y reportan fallos de seguridad de una app o servicio web.
En el caso de Twitter, y según hemos podido saber mediante un comunicado de la red social, durante estos dos primeros años de su programa Bug Bounty la empresa ha recibido 5.171 informes de bugs de más de 1.600 participantes, y ha desembolsado un total de 322.420 dólares en pagos variables - según el grado de peligrosidad del bug.
En palabras de la propia empresa, este programa "es una fuente de valor incalculable para encontrar y solucionar problemas de seguridad y vulnerabilidades que van desde lo más nimio a lo más serio". Porque, por mucho que Twitter tenga un equipo dedicado por entero las 24 horas del día los 365 días del año a la seguridad de su plataforma, siempre hay algún detalle que se les puede escapar - y que un par de ojos extra puede localizar por ellos.
El comunicado incluye algunos detalles curiosos de estos dos años de programa, además de la cifra de informes de bugs y cuánto ha acabado pagando por todos ellos. Sabemos, por ejemplo, que el 20% de los bugs se han hecho públicos (siempre después de haber sido corregidos, claro) y que las cifras que se pagan por descubrir bugs, según su nivel de importancia, son siempre múltiplos de 140 - el número máximo de caracteres de un tuit.
La cifra más baja que se ha pagado a alguien que ha encontrado uno de esos bugs es, por tanto, de 140 dólares, mientras que el récord de momento está en 12.040 dólares. De hecho, según explica Twitter, durante 2015 una sola persona ganó más de 54.000 dólares reportando vulnerabilidades a la empresa.
El programa de "cazadores de bugs" de Twitter no sólo incluye a la propia web de Twitter, sino también a sus apps de móvil, y a los sitios web y apps de móvil de Periscope y Vine.
Otras iniciativas similares
Como decíamos al principio, los programas Bug Bounty se están popularizando entre las compañías tecnológicas como una capa extra de seguridad que complementa a sus equipos de especialistas en el tema. Para quienes participan en ellos, es una forma de aprender y experimentar, además de sacarse un dinero extra; para las empresas, probablemente salga más barato que contratar más expertos.
Empresas como Microsoft, Apple, Google o Facebook cuentan con programas de este tipo, que ofrecen recompensas a quienes encuentren fallos o vulnerabilidades en sus servicios. Hace poco, por ejemplo, supimos del caso del niño finlandés de 10 años que encontró un fallo de seguridad en Instagram - y fue compensado con 9.000 euros por ello.
Pero el interés de estos programas va incluso más allá de las empresas de tecnología. Hasta el propio Pentágono se ha interesado por ella, y ha puesto en marcha recientemente un sistema de recompensas económicas para quien logre encontrar vulnerabilidades en su sitio web.
Vía | Blog de Twitter
En Genbeta | Tor prepara un programa de incentivos que premiará a aquellos que encuentren "bugs"
Ver 4 comentarios