Kaspersky Labs ahora ofrece $100,000 USD por vulnerabilidades

 

Justo días antes de que comience su cumbre anual de seguridad de la información en Cancún, México, Kaspersky Lab anunció una extensión de su programa de bug bounty y planea pagar recompensas de hasta $ 100,000 por vulnerabilidades graves en algunos de sus productos.

Lanzado en 2016, el programa de bug bounty de HackerOne inicialmente prometió un total de $ 50,000 en recompensas y resultó en el descubrimiento de más de 20 fallas en los primeros seis meses. Hasta la fecha, el programa permitió a Kaspersky abordar más de 70 errores en sus productos y servicios.

kaspersky-lab.jpg

El año pasado, la empresa de seguridad de la información con sede en Moscú anunció la incorporación de Kaspersky Password Manager 8 al programa de recompensas, junto con un aumento en la recompensa máxima por vulnerabilidades de ejecución de código remoto de $ 2,000 a $ 5,000.

Los pagos más grandes recientemente anunciados representan un aumento de 20 veces en las recompensas existentes disponibles para los investigadores de seguridad de la información que participan en el programa de recompensas de errores de la compañía, que está disponible para todos los miembros de la plataforma HackerOne.

Las recompensas más grandes se ofrecerán para el descubrimiento y la divulgación coordinada de las vulnerabilidades que permiten la ejecución remota de código a través del canal de actualización de la base de datos del producto, dice Kaspersky. Otro requisito es que el lanzamiento del código se lleve a cabo en el proceso de alto privilegio del producto y silenciosamente por parte del usuario, y esa persistencia también se logra.

Las vulnerabilidades de seguridad que conducen a otros tipos de ejecución remota de código recibirán recompensas de entre $ 5,000 y $ 20,000, dependiendo de su nivel de complejidad. La compañía también anunció que está dispuesta a pagar a los investigadores que descubran errores que permitan la escalada de privilegios locales o que conduzcan a la divulgación de datos confidenciales.

Solo las vulnerabilidades desconocidas descubiertas en Kaspersky Internet Security 2019 (la versión beta más reciente) y Kaspersky Endpoint Security 11 (la versión beta más reciente) califican para las recompensas de errores. Las plataformas compatibles incluyen escritorio de Windows 8.1 y superior, con las actualizaciones más recientes instaladas.

“Encontrar y corregir errores es una prioridad para nosotros como empresa de software. Invitamos a los investigadores de seguridad de la información a garantizar que no haya vulnerabilidades en nuestros productos. La inmunidad de nuestro código y los niveles más altos de protección que ofrecemos a los clientes es un principio básico de nuestro negocio, y un pilar fundamental de nuestra Iniciativa de Transparencia Global “, dijo Eugene Kaspersky, CEO de Kaspersky Lab.

La Iniciativa de Transparencia Global tenía como objetivo borrar el nombre de Kaspersky después de que los informes sugirieron que tenía vínculos con el gobierno ruso y el Departamento de Seguridad Nacional (DHS) ordenó a todas las agencias gubernamentales que dejen de usar los productos de la compañía.

Kaspersky presentó una demanda contra el gobierno de los EE. UU. En diciembre, luego de que el presidente Donald Trump reforzara la prohibición. El mes pasado, la compañía presentó otra demanda por la prohibición.