Es costumbre que compañías renombradas a nivel mundial lancen atractivos programas de tipo Bug Bounty. Éstas consisten en premiar a todas las personas que logren descubrir vulnerabilidades que tengan alto impacto en sus productos o servicios. En la mayoría de los casos, los premios consisten en altas cantidades de dinero, haciéndolas mucho más atractivas y desafiantes.
En esta ocasión, Xbox es el objetivo de este programa que busca que tanto entusiastas y profesionales de la seguridad como los jugadores, se animen a participar. Éstos deben reportar vulnerabilidades encontradas en la última versión de Xbox Live, se aplica tanto a los servicios como la red en general.
Los premios van desde los 500 dólares hasta los 20,000 dólares. Una de las condiciones más importantes que permitirán que califiques para el premio es que tu contribución consista en una ejecución de código remoto, spoofing y otras actividades que impacten en la seguridad de Xbox Live. Este debe estar debidamente reportado en una documentación clara, concreta y completa, añadiendo también el correspondiente PoC (Proof-of-Concept) o prueba de concepto para explotar dicha vulnerabilidad.
Existe la posibilidad de que la cantidad de los premios sea mayor de acuerdo a la calidad y el impacto demostrado de los reportes y pruebas que se reciban. Este criterio quedará bajo exclusiva responsabilidad de Microsoft. Así también, la elección de los ganadores de este programa.
¿Qué condiciones se tienen en cuenta para el reporte de vulnerabilidades?
Dicho reporte o prueba, de acuerdo a lo que escojas, debe evidenciar vulnerabilidades no reportadas con anterioridad. Estas no deben haber sido reportadas en nombre de la última versión de Xbox Live, ni en el ámbito de red ni de servicios. Los pasos para reproducir las vulnerabilidades deben ser claros, concisos y, por supuesto, posibles de reproducir. La mejor alternativa sería que puedas documentarlo realizando vídeo, ya que es más sencilla la comprensión de la evidencia. Además, el hecho de que sea en formato vídeo favorece a su revisión rápida y podrás optar a los premios mayores.
Estas son algunas de las vulnerabilidades que están incluidas dentro de para este programa de recompensas:
- Cross site scripting (XSS)
- Cross site request forgery (CSRF)
- Referencias inseguras a objetos directos
- Deserialización insegura
- Inyección de vulnerabilidades
Por otro lado, éstas son algunas de las vulnerabilidades que no están dentro del alcance del programa:
- Divulgación de información del lado del servidor
- Bugs de tipo CSRF de bajo impacto, como el logoff
- Problemas DoS
- Problemas relacionados con fraude
Para que lo tengas en cuenta, la ejecución de código remoto es lo más crítico en cuanto a severidad y está incluido en el rango de premios más alto: desde 5,000 (si lo reportado califica como importante) hasta el máximo de los 20,000 dólares (si es crítico).
¿Estás interesado en participar? Debes visitar el portal oficial del programa. Accediendo al mismo, tendrás el detalle de todas las vulnerabilidades que están dentro del programa, las que no, todas las condiciones generales para participar y la ayuda necesaria para que puedas enviar tu vídeo o reporte.
Sin lugar a dudas, esta es una gran oportunidad para participar de los programas de recompensas. No es necesario ir directamente al premio mayor de una vez. Incluso, no logrando ganar dinero en efectivo y siendo reconocido por Microsoft (existe esa posibilidad), ya es un gran paso adelante. Recuerda, con la persistencia, podrás llegar a ganar mucho dinero con los Bug Bounties.