Las principales empresas de internet están llevando a cabo campañas en las que buscan recompensar a los desarrolladores externos a cambio de que estos reporten sus vulnerabilidades a la propia compañía en lugar que venderlas a piratas informáticos que puedan explotarlas y, de paso, para ofrecer así la mayor seguridad posible a sus usuarios. La última empresa que ha pagado una cantidad de dinero considerable ha sido Facebook que, por una sola vulnerabilidad, ha pagado 25.000 euros.
La vulnerabilidad en cuestión permitía la ejecución de código remoto y ha sido reportada por un ingeniero informático e investigador brasileño. Debido a la peligrosidad de este tipo de vulnerabilidades y a la dificultad que supone encontrar este tipo de vulnerabilidades, la red social ha decidido pagar al investigador la mayor recompensa económica por ella.
Este ingeniero estuvo investigando en el año 2012 con el descubrimiento de una vulnerabilidad relacionada con OpenID. Aunque en un principio se creyó que Facebook no era vulnerable ante esta vulnerabilidad, hace 2 meses, y prácticamente por casualidad, el investigador descubría que Facebook, efectivamente, era vulnerable ante este fallo y se podía explotar la red social a través de él.
Este investigador no tardó en reportar la vulnerabilidad a Facebook, con su correspondiente informe y la red social tardó menos de 4 horas en proporcionar una solución temporal hasta que, finalmente, ha sido parcheado correctamente.
Generalmente, los fallos XXE permiten leer archivos aleatorios dentro de un servidor aunque este investigador consiguió llevarlo más allá y comprobó que era posible la ejecución de código remoto con un poco más de trabajo, lo que podría llegar a ser ya peligroso para los usuarios y para la propia compañía.
Es agradable ver cómo las principales empresas de internet buscan la forma de corregir fallos de seguridad y mejorar así la privacidad de los usuarios. Otro ejemplo de recompensas es el que está llevando Google con sus productos. La última versión de su navegador Google Chrome corregía 11 vulnerabilidades de seguridad valoradas y, por ellas, ha pagado más de 8000 dólares.
¿Qué te parecen las recompensas que las empresas de internet proporcionan a los usuarios que reporten fallos de seguridad?
Os recomendamos nuestro artículo sobre tiempo en la divulgación de fallos de seguridad.