Microsoft ofrece hasta 30 mil dólares de recompensa por vulnerabilidades en GitHub

GitHub renueva su programa de recompensa por reporte de vulnerabilidades

Especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética reportan que GitHub, la plataforma de alojamiento de código propiedad de Microsoft, ha realizado algunos cambios en su programa de recompensa de vulnerabilidades. El programa, que lleva ya cinco años funcionando, ofrecerá recompensas más altas y amplias protecciones legales para los hackers que decidan participar en él.

GitHub decidió eliminar el monto máximo que podía recibir un hacker ético reportando una vulnerabilidad en la plataforma. En un caso relevante, un hacker podría aspirar a recibir entre 20 mil y 30 mil dólares de recompensa, aunque GitHub asegura que una investigación destacada podría recibir “un monto significativamente más alto”.  

En general, el rango de recompensas de Github contempla:

  • Entre 10 mil y 20 mil dólares por vulnerabilidades críticas
  • Entre 4 mil y 10 mil dólares por vulnerabilidades de severidad media
  • Entre 610 y 2 mil dólares por vulnerabilidades de bajo riesgo

“Cada vez se vuelve más difícil para los investigadores en seguridad en redes encontrar vulnerabilidades críticas en GitHub, por lo que creemos necesario que reciban recompensas acorde a sus esfuerzos”, menciona el comunicado de GitHub.  

Todos los servicios alojados bajo el dominio GitHub.com participan en el programa, incluyendo GitHub Education, GitHub Leaning Lab, GitHub Jobs y la aplicación GitHub Desktop. El servicio en la nube GitHub Enterprise Cloud también se encuentra dentro del alcance del programa de recompensas.

Por último, GitHub deseaba que los expertos en seguridad en redes dejaran de correr algunos riesgos legales por participar en el programa de recompensas. La plataforma decidió agregar un nuevo conjunto de términos legales al programa de recompensas para proteger a los investigadores decididos a encontrar vulnerabilidades críticas. GitHub se ha comprometido a no demandar a los investigadores si, por error, sobrepasan el alcance del programa, además ofrece el mismo nivel de protección contra terceros.

“Para fomentar la investigación y la divulgación responsable de vulnerabilidades de seguridad, no emprenderemos acciones civiles o penales, ni enviaremos avisos a las autoridades policiales por violaciones accidentales o de buena fe de esta política”, especifica la nueva versión del programa de recompensas de GitHub.

(Visited 211,1 times)