Se están utilizando programas de recompensas de errores para comprar silencio


Se están utilizando programas de recompensas de errores para comprar silencio

Informe de investigación sobre cómo programas comerciales de recompensas de errores como HackerOne, Bugcrowd y SynAck se están utilizando para silenciar a los investigadores:

Utilizadas correctamente, las plataformas de recompensas de errores conectan a los investigadores de seguridad con organizaciones que desean un escrutinio adicional. A cambio de informar una falla de seguridad, el investigador recibe un pago (una recompensa) como agradecimiento por hacer lo correcto. Sin embargo, la investigación de CSO muestra que las plataformas de recompensas de errores han dado vuelta a los informes y la divulgación de errores, lo que múltiples fuentes expertas, incluida la ex directora de políticas de HackerOne, Katie Moussouris, llaman una «perversión».

(…)

El silencio es la mercancía que el mercado parece exigir, y las plataformas de recompensas de errores han girado para vender lo que los compradores dispuestos quieren pagar.

«Las recompensas de errores son mejores cuando son transparentes y abiertas. Cuanto más intente cerrarlas y colocar NDA en ellas, menos efectivas serán, más se vuelven sobre advertising en lugar de seguridad», le dice Robert Graham de Errata Stability a CSO.

Leitschuh, el buscador de errores de Zoom, está de acuerdo. «Esto es parte del problema con las plataformas de recompensas de errores como lo son ahora. No están obligando a las empresas a un plazo de divulgación de 90 días», dice. «Muchos de estos programas están estructurados en esta notion de no divulgación. Lo que termino sintiendo es que están tratando de comprar el silencio de los investigadores».

Los NDA de las plataformas de recompensas de errores prohíben incluso mencionar la existencia de una recompensa de errores privada. Tuitear algo como «La empresa X tiene un programa de recompensas privado en Bugcrowd» sería suficiente para que un pirata informático sea expulsado de su plataforma.

La zanahoria para el silencio del investigador es el dinero: las recompensas pueden oscilar entre unos cientos y decenas de miles de dólares, pero el palo para hacer cumplir el silencio es el «puerto seguro», la promesa pública de una organización de no demandar o enjuiciar penalmente a un investigador de seguridad intentando reportar un error de buena fe.

Publicado el 3 de abril de 2020 a las 6:21 a.m.

comentarios



Enlace a la noticia first