Entre tantas nuevas amenazas e infecciones, les traemos una buena noticia: Dropbox lanzó su propio programa de recompensas para los investigadores que reporten vulnerabilidades. De esta forma, se suma a otras compañías que llevan adelante iniciativas similares, y fomenta el trabajo de la comunidad de especialistas interesados en mejorar la seguridad de los servicios y aplicaciones web.
Dropbox anunció que, en conjunto con HackerOne, abonará recompensas incluso para quienes hallaron bugs anteriormente y no fueron premiados. El bono mínimo será de 216 dólares para las fallas más pequeñas o menos severas, y si bien no hay un máximo establecido oficialmente, la recompensa más alta abonada hasta el momento es de 4.913 dólares.
Los productos contemplados en el programa son:
- Las aplicaciones de Dropbox, Carousel y Mailbox para Android y iOS
- Las aplicaciones web de Dropbox y Carousel
- El cliente Dropbox para escritorio
- Dropbox Core SDK
- Además, se contemplará premiar hallazgos interesantes en otras aplicaciones
Quedan excluidas del programa vulnerabilidades como Cross-Site Scripting (XSS) contra dropboxusercontent.com, los foros o dominios que no sean de Dropbox; ataques que requieran acceso físico al dispositivo, y ataques cross-site request forgery (CSRF) en el inicio y cierre de sesión. Tal como indica The Register, se han eliminado 27 bugs hasta el momento.
El comunicado dice:
Mientras trabajamos con firmas profesionales para pentesting y hacemos nuestro propio testing in-house, el escrutinio independiente de nuestras aplicaciones ha sido un recurso invaluable para nuestro equipo -permitiendo aprovechar la experiencia de la comunidad de seguridad más amplia.
Hemos reconocido las contribuciones de los investigadores con los que hemos trabajado en un hall of fame público, y ahora estamos emocionados de ser también una de las muchas compañías que proveen recompensas monetarias. De hecho, estaremos recompensando retroactivamente a los investigadores que han reportado bugs críticos en nuestras aplicaciones a través de nuestro programa existente, pagando 10.475 dólares hoy.
Así, Dropbox sigue a otros grandes como Facebook y Google que también ofrecen atractivos programas de recompensa. Si quieren participar, les será de utilidad aprender cómo reportar una vulnerabilidad.