Encontraste un BUG en una compañia? .... No lo publiques Mejor vendelo ;P

 

Buena tarde amigos  en estos últimos días me han contactado varios egresados de la Certified White Hat Profesional que desde el año 2006 estamos impartiendo vía online y presencial en el Centro de Investigaciones en Seguridad Informática:

www.ccat.edu.mx

y recuerden nos vemos en el x. Cyber Security Conferences del próximo año:  2016

www.x25.org.mx 

y como decía me han contactado para mostrarme que han encontrado diferentes vulnerabilidades en diferentes sitios web de muchísimas empresas importantes en México y el mundo tales como ACER - MICROSOFT  y muchas más y su pregunta es la misma siempre:

Profesor mire encontré esta vulnerabilidad en xxxx sitio cómo ve usted la publico en internet y en Facebook para que los demás la conozcan?  

Y pues ahí está el detalle de la contestación amigos,  NO LA PUBLIQUEN, jejeje si amigos como lo oyen.

NO LA PUBLIQUEN mejor al tener la vulnerabilidad ya establecida y probada piensen que existe una opción mejor que es la llamada:

BUG BOUNTY

Pero qué es esto?  Bueno basados en la definición que WIKIPEDIA nos ofrece es:

Es  un programa de recompensas monetarias normalmente ofrecido por varios sitios web tales como facebook. Microsoft y muchas más en al cuales si tu encuentras  un BUG y se los reportas oficialmente a las empresas afectadas  ellos una vez confirmada te dan una aportación así como también puedes recibir un reconocimiento  especialmente si estos bugs son del lado de exploit y vulnerabilidades. 

Estos programas  de compensación para los investigadores en seguridad informática  permiten a las empresas resolver vulnerabilidades mucho antes que alguien más las encuentre y que podrían afectar a su empresa y causar un mal mayor así previenen incidentes de abuso y robo de datos.

Las compensaciones monetarias en diferente empresas varían conforme al peligro inminente que ese bug sea como la muy famosa vulnerabilidad de un investigador llamado: Khalil  que uso un vulnerabilidad de FACEBOOK para publicar en la timeline  sin autorización en las biografías de los integrantes y este hacker público en nombre del creador de Facebook Mark Zuckerberg.  Un mensaje entonces el hacker la reporte pero basados en el escueta explicación del reporte que KHALIL dio ESTE NO FUE considerado bug.

Pero no se preocupen amigos hoy en día hay muchísimas empresa que tienen ese programa y los incito y además invito a que se unan a este BUG BOUNTY y que si encuentran una vulnerabilidad de alguna empresa hagan lo siguiente:

1.      Documenten perfectamente la vulnerabilidad encontrada

2.      Manden un email a la empresa vulnerada preguntando si tienen plan de recompensas (bug bounty).

3.      Si les comentan que si lo tienen,  manden otro segundo email comentando que te envíen el plan de recompensas disponible.

4.      Una vez recibida la respuesta envíenles el reporte bien documentado y esperen a que la empresa los meta en esa plan y listo a disfrutar de un dinerito (money) que no cae mal.

Y por qué les digo que mejor hagan esto?

Ya que hoy en día todos o la mayoría estamos acostumbrados a mandar, publicar o distribuir estos bugs encontrados en internet por el simple hecho de decir que uno lo encontró  por que no mejor si encuentras uno avísale a la empresa y pregunta por sus planes de recompensas y que mejor obtener una compensación. ;P

Y si la empresa no tiene ese tipo de planes?

Pues ahí si tú sabrás, se los das free y los ayudas  a ahorrarse millones de dólares o pesos en contratar gente que investigue y encuentre los bugs o sigues el método tradicional que es el de publicarlas en internet para hacerte famoso  o LE ENTRAS AL BUG BOUNTY. ;p

 

Les dejo aquí una lista de las empresas que dan ese servicio de BUG BOUNTY

Company	New	Reward	Swag	Hall of Fame
123 Contact Form				Yes
Abacus				Yes
Acorns LLC		Yes		Yes
Acquia				Yes
Active Campaign				Yes
ActiveProspect				Yes
ActiVPN				Yes
Adapcare			Yes
AeroFS
Aerohive
Agora Ciudadana Security
Airbnb
Alcyon			Yes
Altervista				Yes
Amazon Web Services
ANCILE Solutions Inc.				Yes
Android Free Apps				Yes
Appcelerator				Yes
Apple				Yes
Apptentive
Aptible		Yes		Yes
Asana		Yes
AT&T		Yes	Yes	Yes
Attack Secure				Yes
Auth0				Yes
Automattic				Yes
Avast!		Yes
AVG Technologies		Yes		Yes
Avira
Badoo		Yes		Yes
Barracuda Networks		Yes		Yes
Base				Yes
Basecamp				Yes
Beanstalk
Bitcasa				Yes
Bitcoin.de
Bittrex		Yes		Yes
BitWall				Yes
Blackberry
Blackphone				Yes
Blinksale				Yes
Blogger		Yes		Yes
Box
Braintree				Yes
BTX Trader
Buffer				Yes
Bugcrowd		Yes		Yes
Bugify				Yes
C2FO				Yes
Campaign Monitor
CARD.com				Yes
Chargify				Yes
Chromium Project		Yes		Yes
CircleCi			Yes
Cisco
CloudFlare			Yes	Yes
Code Climate
CodePen				Yes
Coinbase		Yes		Yes
Coinkite		Yes		Yes
Commonsware			Yes
Compilr				Yes
Compose				Yes
Constant Contact				Yes
Coupa
CPanel		Yes
cPaperless
Cryptocat				Yes
Cupcake				Yes
Customer Insight
Dato Capital				Yes
Detectify				Yes
Deutsche Telekom				Yes
Digital Ocean				Yes
Distimo				Yes
DNSimple				Yes
Downstream Analytics
Dribbble				Yes
Dropbox		Yes		Yes
Drupal		Yes		Yes
eBay				Yes
Eclipse
Elance-oDesk				Yes
EMC
Emptrust
Engineyard				Yes
Envoy				Yes
Ethereum		Yes	Yes	Yes
EthnoHub
Etsy		Yes
Eventbrite				Yes
Event Espresso
Evernote				Yes
Expatistan
Facebook		Yes		Yes
FastMail		Yes		Yes
FFmpeg
Firebase			Yes
Fitbit				Yes
flood.io				Yes
Flowdock
Fluxiom				Yes
Form Assembly				Yes
Foursquare				Yes
FoxyCart		Yes		Yes
Freedom of the Press Foundation				Yes
Freelancer			Yes	Yes
Gamma
Gemeente Wageningen
Gemfury
getClouder		Yes		Yes
Ghost
GhostMail
Ghostscript		Yes
Github		Yes		Yes
Gitlab				Yes
Gliph				Yes
GoAnimate				Yes
Google		Yes		Yes
Gratipay				Yes
Greenhouse.io		Yes		Yes
Grok Learning				Yes
HackerOne		Yes		Yes
Hack For Cause				Yes
HakSecurity				Yes
Harmony				Yes
Help Scout		Yes		Yes
Heroku		Yes	Yes	Yes
Hex-Rays		Yes
HoneyDocs
Honeywell
Hootsuite				Yes
HTC
Huawei
Humble Bundle				Yes
Hybrid Saas
IBM
ICEcoder
Iconfinder				Yes
iFixit				Yes
Indeed		Yes		Yes
Inflectra				Yes
Informatiebeveiliging
ING NL
Instagram		Yes	Yes	Yes
Instructure		Yes		Yes
IntegraXor (SCADA)			Yes	Yes
Internetwache				Yes
(ISC)²				Yes
ITRP
iwantmyname				Yes
Jet.com		Yes		Yes
jruby
Jumplead				Yes
Juniper
Kadince
Kaneva				Yes
Kayako				Yes
Keming Labs
Kenna Security			Yes	Yes
Khan Academy				Yes
KPN
Kraken		Yes		Yes
LastPass		Yes		Yes
LaunchKey		Yes		Yes
Librato				Yes
Lievensberg Hospital
Liferay
LinkedIn
Localize				Yes
Logentries				Yes
MacOS X Bitcoin LevelDB data corruption issue		Yes
Magento		Yes		Yes
Magix AG				Yes
Mahara				Yes
MailChimp				Yes
Mail.Ru		Yes		Yes
ManageWP				Yes
Mandrill App				Yes
Marktplaats		Yes
Mavenlink				Yes
MCProHosting				Yes
Mega.co.nz		Yes
Meldium				Yes
Meraki		Yes
Microsoft (bounty programs)		Yes		Yes
Microsoft (Online Services)				Yes
Microweber				Yes
Millsap Independent School District
Modus CSR
Moneybird				Yes
Moodle				Yes
MoonMail
Motorola
Movember				Yes
Mozilla		Yes	Yes
Multicraft		Yes		Yes
Myntra				Yes
MyStuff2 App			Yes	Yes
Namazu
National Cyber ​​Security Center (Netherlands)		Yes	Yes
Netagio		Yes
Netflix				Yes
Net Worth Pro		Yes		Yes
Nitrous.IO				Yes
Nokia Siemens Networks				Yes
NolimitVPN
Norada				Yes
NSN Nokia Solutions Networks				Yes
Nvidia
Oculus		Yes		Yes
Offers.com
Olark		Yes	Yes	Yes
Onavo		Yes		Yes
OnePageCRM				Yes
OpenBSD
Openclass Knowledge Base
OpenText				Yes
Opera
Oracle
Orkut		Yes		Yes
PagerDuty
Pantheon				Yes
Panzura
Parse		Yes		Yes
PasteCoin		Yes		Yes
Paymill				Yes
Paypal		Yes		Yes
Pidgin
PikaPay		Yes
Pinterest		Yes		Yes
Piwik		Yes
Pocket				Yes
Polar SSL		Yes
PostmarkApp				Yes
Prezi		Yes
Protonmail		Yes
PullReview
Puppet Labs				Yes
PureVPN				Yes
Qiwi		Yes
Qmail		Yes
Qualcomm				Yes
Rackspace				Yes
Recorded Future			Yes	Yes
Reddit				Yes
RedHat				Yes
Regiobank NL		Yes
Relaso
Ribose				Yes
Riot Games		Yes		Yes
Ripple		Yes
Riskalyze				Yes
Salesforce
Samba
Samsung		Yes
SBWire		Yes
Schuberg Philis			Yes	Yes
Scorpion Software				Yes
Security Net				Yes
Segment.io				Yes
Sellfy				Yes
SendSafely				Yes
ServiceRocket				Yes
Shopify		Yes		Yes
Silent Circle				Yes
Simple		Yes		Yes
Simplify
SiteGround				Yes
Skuid
SKY TV				Yes
Smart Budget				Yes
SmileznHapiez				Yes
SNS Bank NL		Yes
Socrata		Yes		Yes
Sonatype				Yes
Sony				Yes
Soundcloud				Yes
SplashID			Yes	Yes
Splitwise				Yes
Spokeo			Yes	Yes
Spotify		Yes	Yes	Yes
Sprout Social				Yes
Square		Yes		Yes
Starbucks
StatusPage.io		Yes	Yes	Yes
Stripe		Yes
Sunrise		Yes		Yes
Symantec
Tagged		Yes
Tapatalk
Tarsnap		Yes
Team Unify
Tele2
Telegram		Yes
Telenet Belgium
Tesla		Yes		Yes
Trade Only
Trend Micro				Yes
Tuenti				Yes
Tumblr		Yes		Yes
Twilio				Yes
Twitch				Yes
Twitter		Yes		Yes
Typo3
Uber				Yes
Udemy		Yes
Unitag				Yes
UPC
Valve Software				Yes
VCE
Venmo
Veridu		Yes
Viadeo				Yes
Viewpost
Vimeo				Yes
Vodafone (Netherlands)
Volcanic Pixels
Volusion				Yes
VSR
Wamba
Webconverger
Websecurify		Yes	Yes
Western Union		Yes		Yes
WHMCS		Yes
Windthorst ISD
Wink Inc		Yes		Yes
Xen
Xmarks				Yes
XMind
Yahoo		Yes		Yes
Yandex		Yes		Yes
Yesware				Yes
YouTube		Yes		Yes
Zendesk			Yes	Yes
Zetetic
Ziggo
Zimbra
Zynga

 lista tomada de aqui:  https://bugcrowd.com/list-of-bug-bounty-programs