Bug Bounty consiste en premiar a todas las personas que logren descubrir
vulnerabilidades que tengan alto impacto en sus productos o servicios.
SET Puebla Noticias
Es costumbre que compañías
renombradas a nivel mundial lancen atractivos programas de tipo Bug Bounty.
Éstas consisten en premiar a todas las personas que logren descubrir
vulnerabilidades que tengan alto impacto en sus productos o servicios. En la
mayoría de los casos, los premios consisten en altas cantidades de dinero,
haciéndolas mucho más atractivas y desafiantes.
En esta ocasión, Xbox es el objetivo
de este programa que busca que tanto entusiastas y profesionales de la
seguridad como los jugadores, se animen a participar. Éstos deben reportar
vulnerabilidades encontradas en la última versión de Xbox Live, se aplica tanto
a los servicios como la red en general.
Los premios van desde los 500 dólares
hasta los 20,000 dólares. Una de las condiciones más importantes que permitirán
que califiques para el premio es que tu contribución consista en una ejecución
de código remoto, spoofing y otras actividades que impacten en la seguridad de
Xbox Live. Este debe estar debidamente reportado en una documentación clara,
concreta y completa, añadiendo también el correspondiente PoC
(Proof-of-Concept) o prueba de concepto para explotar dicha vulnerabilidad.
Existe la posibilidad de que la
cantidad de los premios sea mayor de acuerdo a la calidad y el impacto
demostrado de los reportes y pruebas que se reciban. Este criterio quedará bajo
exclusiva responsabilidad de Microsoft. Así también, la elección de los
ganadores de este programa.
¿Qué condiciones se tienen en cuenta para el reporte de
vulnerabilidades?
Dicho reporte o prueba, de acuerdo a
lo que escojas, debe evidenciar vulnerabilidades no reportadas con
anterioridad. Estas no deben haber sido reportadas en nombre de la última
versión de Xbox Live, ni en el ámbito de red ni de servicios. Los pasos para
reproducir las vulnerabilidades deben ser claros, concisos y, por supuesto,
posibles de reproducir. La mejor alternativa sería que puedas documentarlo
realizando vídeo, ya que es más sencilla la comprensión de la evidencia.
Además, el hecho de que sea en formato vídeo favorece a su revisión rápida y
podrás optar a los premios mayores.
Estas son algunas de las
vulnerabilidades que están incluidas dentro de para este programa de recompensas:
- Cross site scripting (XSS)
- Cross site request forgery (CSRF)
- Referencias inseguras a
objetos directos
- Deserialización insegura
- Inyección de vulnerabilidades
Por otro lado, éstas son algunas de
las vulnerabilidades que no están dentro del alcance del programa:
- Divulgación de información del
lado del servidor
- Bugs de tipo CSRF de bajo
impacto, como el logoff
- Problemas DoS
- Problemas relacionados con
fraude
Para que lo tengas en cuenta, la
ejecución de código remoto es lo más crítico en cuanto a severidad y está
incluido en el rango de premios más alto: desde 5,000 (si lo reportado califica
como importante) hasta el máximo de los 20,000 dólares (si es crítico).
¿Estás interesado en participar?
Debes visitar el portal oficial del programa. Accediendo al mismo, tendrás el
detalle de todas las vulnerabilidades que están dentro del programa, las que
no, todas las condiciones generales para participar y la ayuda necesaria para
que puedas enviar tu vídeo o reporte.
Sin lugar a dudas, esta es una gran
oportunidad para participar de los programas de recompensas. No es necesario ir
directamente al premio mayor de una vez. Incluso, no logrando ganar dinero en
efectivo y siendo reconocido por Microsoft (existe esa posibilidad), ya es un
gran paso adelante. Recuerda, con la persistencia, podrás llegar a ganar mucho
dinero con los Bug Bounties.
Fuente: RedesZone.net
ARP / ROF
