LinkedIn continuará con su programa de recompensas por reportes de bugs, mediante el cual le paga a un reducido grupo de investigadores de seguridad, afirmando que este enfoque ayuda a limitar la cantidad de reportes irrelevantes. Así lo informó PC World.
En una publicación en el blog de la compañía, su director de seguridad de la información Cory Scott dijo que el programa empezó en octubre de 2014, y ha pagado a la fecha 65.000 dólares por más de 65 bugs sobre los que pudo trabajar. Los investigadores que conforman el equipo son cuidadosamente seleccionados e invitados a unirse a LinkedIn, trabajando de cerca con sus propios expertos de seguridad.
"Este programa de recompensas privado le da a nuestro equipo interno de seguridad la capacidad de enfocarse en asegurar la próxima generación de productos de LinkedIn, mientras les permite interactuar con una pequeña comunidad calificada de investigadores externos", escribió Scott. "El programa es solo por invitación basada en la reputación y experiencia previa del investigador".
Además, explicó que un factor importante al trabajar con reportes de seguridad externos es la proporción entre los que son procesables, es decir, que encuentren vulnerabilidades que se deban solucionar, y los incorrectos, irrelevantes o incompletos. Y agregó: "El programa privado de LinkedIn actualmente tiene una proporción de 7:3, la cual excede significativamente las proporciones de los programas de recompensas públicos".
SC Magazine nota que LinkedInha buscado asistencia en HackerOne, un proveedor de gestión de vulnerabilidades y plataformas para proframas de recompensas de San Francisco, cuyos clientes incluyen a Adobe, Snapchat y Airbnb.
Mientras tanto, compañías como Dropbox y Facebook han abierto sus propias iniciativas al público general. En tanto, Google aumentó el monto de sus recompensas a 15 mil dólares por reportes de bugs en Chrome.
Sigue leyendo: ¿Cómo reportar una vulnerabilidad?