Twitter inicia programa de recompensas

Twitter inicia programa de recompensas para descoberta de bugs. Intenção é pagar aos pesquisadores 140 dólares, no mínimo, por vulnerabilidades graves reportadas em seus serviços web e aplicações móveis.

Seguindo os passos de outras grandes empresas da Internet, o Twitter começou a pagar recompensas para pesquisadores de segurança que encontrarem e relatarem, diretamente ao microblog,  vulnerabilidades em seus serviços web e aplicativos móveis.

Nos últimos anos, os programas de recompensa por descoberta de bugs tornaram-se um complemento popular para as políticas de revisões de segurança de código e testes de penetração realizados pelos próprios administradores dos serviços.

A Google foi uma das primeiras empresas a lançar um programa de recompensa de descoberta de vulnerabilidades,  em 2010, cobrindo todas as suas propriedades online, e já foi acompanhada por Facebook, PayPal, Yahoo e Mozilla.

“Estamos lançando um programa de recompensas para agradecer aos pesquisadores que reportarem questões de segurança de forma responsável”, informou o Twitter nesta quarta-feira por meio da conta Twitter Segurança no microblog.

Para colocar o programa em prática, o Twitter optou por usar a plataforma HackerOne, também usada pelo Yahoo, CloudFlare, Automattic e outras empresas.

A HackerOne também suporta o Bounty Bug Internet, programa patrocinado pela Microsoft e Facebook  para recompensar pesquisadores que encontrarem vulnerabilidades em software considerados críticos para a infraestrutura da Internet, como a biblioteca OpenSSL, os servidores Web Apache e Nginx e as linguagens de programação Ruby, Python, PHP e Perl.

O Twitter vai pagar pelo menos 140 dólares por vulnerabilidade encontrada em seus serviços twitter.com ou nos aplicativos iOS e Android. Os valores de recompensa podem variar, dependendo da gravidade das falhas relatadas. Não há limite pré-definido para o quão alto podem chegar, segundo o Twitter.

As recompensas cobrem vulnerabilidades que resultem em cross-site scripting (XSS), cross-site request forgery (CSRF), execução remota de código (RCE) ou acesso não autorizado aos tweets protegidos e mensagens diretas.

Mesmo antes do lançamento do programa oficial de recompensas, o Twitter já utilizava a HackerOne desde maio, período em que corrigiu mais de 40 bugs reportados através da plataforma. Mas o único reconhecimento público dado aos pesquisadores que relataram falhas diretamente para a empresa foi listá-los em sua página de segurança.

Programas de recompensa de bugs “são uma grande ferramenta – se bem feitos – para que as empresas controlem o processo de divulgação de falhas e incentivem os investigadores informar suas descobertas primeiro para seu pessoal de segurança”, disse Carsten Eiram, da Risk Based Security,  via e-mail . “Também estão sendo muito utilizados como ferramenta de PR, para mostrar que a empresa se preocupa com a segurança e trabalha com os pesquisadores”, comenta.

Fonte: IDGNow

0 respostas

Deixe uma resposta

Want to join the discussion?
Feel free to contribute!

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *