Cloudflare lanza programa de pago de recompensas por errores (bug bounty)

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Cloudflare, una empresa estadounidense centrada en la infraestructura web y la seguridad de sitios web, ha anunciado el lanzamiento de un nuevo programa público de recompensas por errores.

"Hoy estamos lanzando el programa público de recompensas por errores pagado de Cloudflare", dijo Rushil Shah, ingeniero de seguridad de productos en Cloudflare.

"Creemos que las recompensas por errores son una parte vital de la caja de herramientas de cada equipo de seguridad y hemos estado trabajando arduamente para mejorar y expandir nuestro programa privado de recompensas por errores en los últimos años".

El nuevo programa público de recompensas por errores sigue un programa de divulgación de vulnerabilidades sin recompensas en efectivo creado en 2014. A través de este programa, Cloudflare recibió 1197 informes, solo el 13 % de ellos válidos porque los investigadores tenían dificultades para comprender su infraestructura y sus productos.

En 2018, Cloudflare lanzó un programa privado de recompensas por errores centrado en brindar una mejor experiencia a los investigadores. A mediados de enero de 2022, Cloudflare otorgó $211 512 en recompensas por vulnerabilidades dentro del alcance, pasando de $4500 pagados en 2018 a $101 075 en 2021.

La compañía también lanzó un sandbox de prueba llamado CumlusFire:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

antes de lanzar el nuevo programa público de recompensas, que brinda a los cazadores de errores un campo de juego estandarizado para probar exploits.

El nuevo programa de recompensas por errores de Cloudflare

A partir de hoy, los cazadores de errores pueden informar las vulnerabilidades de seguridad encontradas en los productos de Cloudflare a través del nuevo programa público de recompensas por errores de la compañía, alojado en la plataforma HackerOne:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los investigadores pueden encontrar más información sobre los productos de Cloudflare utilizando la documentación para desarrolladores de la empresa, la documentación de la API, el Centro de aprendizaje y los materiales que se encuentran en los foros de soporte de Cloudflare:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El desglose de las recompensas otorgadas para los objetivos en función de la clasificación de gravedad CVSS3 de los problemas se puede encontrar en la siguiente tabla.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Según los factores atenuantes de una vulnerabilidad y la evaluación de riesgos comerciales de Cloudflare, los problemas informados pueden recibir una calificación de gravedad más baja.

"Así como hicimos crecer nuestro programa privado, continuaremos evolucionando nuestro programa público de recompensas por errores para brindar la mejor experiencia a los investigadores", agregó Shah.

"Nuestro objetivo es agregar más documentación, plataformas de prueba y una forma de interactuar con nuestros equipos de seguridad para que los investigadores puedan estar seguros de que sus envíos representan problemas de seguridad válidos".

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta