F-Secure ya tiene un programa de recompensas por encontrar vulnerabilidades en sus productos
La compañía dedicada a la seguridad F-Secure, ha lanzado un programa de recompensas por encontrar y reportarles vulnerabilidades de seguridad (bug bounty). F-Secure quiere que investigadores de seguridad independientes que encuentren con fallos de seguridad en sus productos y servicios, se los reporten a cambio de recompensas en forma de dinero.
F-Secure ha publicado una guía para que los investigadores de seguridad no causen un problema de seguridad a otros usuarios o a sus datos, además, también quieren evitar que sus sistemas de seguridad emitan una alerta cuando los investigadores están intentando explotar fallos de seguridad.
Actualmente el programa de recompensas de F-Secure cubre algunos servicios de productos de la compañía, pero no todos, por este motivo los investigadores de seguridad que quieran participar en el programa de vulnerabilidades de seguridad deberán centrarse en estos productos. Según la compañía en un futuro se considerará aumentar el número de productos, servicios y páginas web públicas.
Productos de F-Secure para empresas que entran en este bug bounty
- Client Security
- Client Security Premium
- Server Security
- Server Security Premium
- E-mail and Server Security
- E-mail and Server Security Premium
- Internet Gatekeeper
- Linux Security
- PSB Workstation Security
- PSB Email and Server Security
- PSB Server Security
- PSB Linux Security
Productos de F-Secure para cliente final
- F-Secure SAFE
- F-Secure Internet Security
- F-Secure Freedome
- F-Secure Key
El investigador de seguridad también debe tener en cuenta que los fallos de seguridad encontrados se tienen que corresponder con la última versión del software que se puede descargar desde la página web oficial de F-Secure o desde las tiendas oficiales de aplicaciones para dispositivos móviles como Google Play Store, Windows Phone Store o Apple App Store.
Otras limitaciones de este programa de recompensas es que si el fallo de seguridad es en las web, deberá ser reproducible en un navegador compatible con HTML5, además si el fallo de seguridad está en una aplicación para dispositivos móviles deberá poder explotarse sin tener el dispositivo rooteado (Android) o con Jailbreak (Apple) y el sistema operativo actualizado a la última versión disponible por el fabricante de nuestro terminal. Es esencial instalar software de forma segura.
Las recompensas que dará la compañía a los investigadores de seguridad dependerá en gran medida de la gravedad de la vulnerabilidad, esta gravedad vendrá determinada por los responsables de seguridad de la empresa. Actualmente el rango de recompensas varía desde los 100€ hasta los 15.000€.
Si eres un investigador de seguridad, os recomendamos visitar todas las condiciones del programa de recompensas.