En los últimos nueve años, nuestro programa Bug Bounty (programa de recompensa por detección de errores) ha desempeñado un papel fundamental al ayudarnos a identificar y corregir rápidamente vulnerabilidades y detectar nuevas tendencias de seguridad. En 2019, el programa alcanzó una serie de hitos, incluido, por segundo año consecutivo, nuestro mayor pago por recompensa por captura de errores hasta la fecha.
En esta publicación, compartiremos algunos de los aspectos más destacados de 2019, incluido nuestro continuo apoyo con algunos de los investigadores más talentosos del mundo que nos han ayudado a fortalecer la seguridad de nuestros servicios.
Aspectos Relevantes de 2019
- Entregamos más de USD$ 2.2 millones a investigadores de más de 60 países que, sumado al pago total realizado desde que se inició el programa, asciende a más de USD$ 9.8 millones.
- Recibimos alrededor de 15,000 informes en total y entregamos recompensas para más de 1,300 de estos informes.
- El monto promedio de la recompensa superó los USD $1,500.
- Realizamos donaciones por más de USD $35,000 a organizaciones benéficas cuando los investigadores de seguridad optaron por donar sus recompensas a varias causas.
- Los tres países en donde se otorgaron más recompensas por errores de acuerdo con la suma de los pagos fueron India, Túnez y los Estados Unidos.
Identificación de errores
En septiembre, organizamos un evento de hacking en vivo de un día en Canadá, donde se reunieron alrededor de 50 investigadores de seguridad de primer nivel de nuestro programa, provenientes de todo el mundo. Uno de los aspectos más destacados fue el hallazgo de Youssef Sammouda, quien también se ubicó en el primer lugar de nuestra clasificación de líderes de sombrero blanco este año. Su pago por recompensa equivalente a USD$ 65,000 superó el pago por recompensa más alto realizado el año pasado.
Youssef descubrió un error al realizar una consulta web en una terminal utilizada para la gestión de derechos de autor. Debido a una respuesta de error mal configurada, una consulta web podría haber devuelto fragmentos de datos no deseados desde la terminal de derechos de autor. Implementamos una solución para este problema pocas horas después de que Youssef nos lo informara. Tras implementar la solución inicial, creamos una revisión de seguimiento exhaustiva utilizando una combinación de detección automática y la revisión del código manual. Como resultado, solucionamos un marco más amplio en la forma en que se manejaban los errores para evitar que otras terminales pudieran devolver datos similares. Como siempre lo hacemos, entregamos al investigador su recompensa en función del máximo impacto posible del error informado, y no en función del problema inicial que nos informó.
Crecimiento de nuestro programa de Data Abuse Bounty (recompensa por abuso de datos)
En 2018, lanzamos el primer programa Data Abuse Bounty (recompensa por abuso de datos), que premia a las personas que informan sobre el mal uso de los datos por parte de los desarrolladores de aplicaciones para que podamos solucionarlo rápidamente.
Recientemente, realizamos el pago más alto hasta la fecha en este programa por un valor de USD $30,000. En 2019, un grupo de investigadores de seguridad dirigido por Luyi Xing de la Universidad de Indiana, reportó un problema que involucraba a proveedores de Kits de Desarrollo de Software (“SDK” por sus siglas de inglés) que pagaban a los desarrolladores de aplicaciones externos para que usaran SDK maliciosos en sus aplicaciones, disponibles en tiendas de aplicaciones populares. Trabajamos con los investigadores y otras empresas tecnológicas afectadas para entender el alcance completo de esta actividad. Como resultado, eliminamos las aplicaciones de nuestra plataforma por violar nuestras políticas y emitimos cartas de cese y desistimiento contra estos proveedores de SDK. Este tipo de colaboración con nuestros colegas e investigadores es precisamente el motivo por el que lanzamos el programa de recompensas por abuso de datos, el cual nos permite ayudar a que el amplio ecosistema de Internet sea más seguro.
Ampliar el alcance del Programa Bug Bounty
En 2019, también ampliamos el alcance de nuestro programa Data Abuse Bounty (recompensa por abuso de datos) para incluir Instagram. Entregamos incentivos adicionales para que los investigadores prueben nuestros productos originales y facilitamos la capacidad de realizar pruebas de vulnerabilidades móviles.
En particular, queremos resaltar las siguientes actualizaciones:
- Por primera vez en la historia de nuestro programa, a lo largo del año invitamos a un grupo selecto de investigadores para ayudarnos a probar la seguridad de una serie de nuevas características antes del lanzamiento del producto. Las pruebas incluyeron a Facebook Dating, Checkout en Instagram y FB5. Nuestro objetivo es asegurarnos de encontrar y solucionar cualquier problema potencial lo más pronto posible, previo al lanzamiento de nuevos productos y funciones a nivel global. Esperamos continuar con esta iniciativa.
- También ampliamos el alcance de nuestra recompensa por captura de errores única en la industria para aplicaciones de terceros y sitios web que se integran con Facebook, y así comenzar a premiar los reportes que se encuentran a través de pruebas de penetración permanentes (cuando está autorizado por terceros) en lugar de simplemente observar pasivamente la vulnerabilidad. Esta actualización aumentó significativamente el rango de investigación de seguridad que nuestra comunidad de Bug Bounty puede compartir con nosotros y recibir recompensas cuando encuentren vulnerabilidades potenciales en estas aplicaciones y sitios web externos.
Conexión con la comunidad de Bug Bounty
Finalmente, nos asociamos con Google para desarrollar BountyCon en Singapur, un evento dedicado a construir relaciones con investigadores en la región de Asia-Pacífico y compartir enfoques prácticos para descubrir e informar vulnerabilidades de alta calidad. En BountyCon, también organizamos un evento de hacking en vivo donde entregamos pagos por recompensas equivalentes a USD $120,000 para 40 reportes válidos de errores. Gracias a esta conferencia, se unieron nuevos investigadores a nuestro programa y ya hemos recibido sus informes de alta calidad.
Realizaremos nuevamente BountyCon en Singapur en abril de 2020. Podrás encontrar más detalles sobre la conferencia y los criterios de elegibilidad aquí.
¡Queremos agradecer a todos los que contribuyeron al crecimiento de nuestro programa en 2019 y esperamos continuar con nuestra colaboración este año para mantener la seguridad de nuestras plataformas!