Destaques

Solicite sua guia

Contribuição para Fortalecimento Sindical 2023

Programa Estagiário Legal

Tenha estagiários com segurança jurídica

Cadastre-se no TI Rio Notícias

Receba em seu e-mail pauta das assembleias, notícias do setor de TI, agenda de eventos e muito mais

Mais notícias

Solicite o recolhimento gratuito de lixo eletrônico20/06/2024

Contribuição Assistencial para o Fortalecimento Patronal - Mensagem de nosso Presidente18/06/2024

CAMPANHA LIXO ELETRÔNICO 202405/06/2024

Governo e Congresso chegam a acordo sobre desoneração da folha de 17 setores09/05/2024

Twitter lança programa de recompensas por descoberta de bugs

08/09/2014

Seguindo os passos de outras grandes empresas da Internet, o Twitter começou a pagar recompensas para pesquisadores de segurança que encontrarem e relatarem, diretamente ao microblog, vulnerabilidades em seus serviços web e aplicativos móveis.

Nos últimos anos, os programas de recompensa por descoberta de bugs tornaram-se um complemento popular para as políticas de revisões de segurança de código e testes de penetração realizados pelos próprios administradores dos serviços.

A Google foi uma das primeiras empresas a lançar um programa de recompensa de descoberta de vulnerabilidades, em 2010, cobrindo todas as suas propriedades online, e já foi acompanhada por Facebook, PayPal, Yahoo e Mozilla.

"Estamos lançando um programa de recompensas para agradecer aos pesquisadores que reportarem questões de segurança de forma responsável", informou o Twitter nesta quarta-feira por meio da conta Twitter Segurança no microblog.

Para colocar o programa em prática, o Twitter optou por usar a plataforma HackerOne, também usada pelo Yahoo, CloudFlare, Automattic e outras empresas.

A HackerOne também suporta o Bounty Bug Internet, programa patrocinado pela Microsoft e Facebook para recompensar pesquisadores que encontrarem vulnerabilidades em software considerados críticos para a infraestrutura da Internet, como a biblioteca OpenSSL, os servidores Web Apache e Nginx e as linguagens de programação Ruby, Python, PHP e Perl.

O Twitter vai pagar pelo menos 140 dólares por vulnerabilidade encontrada em seus serviços twitter.com ou nos aplicativos iOS e Android. Os valores de recompensa podem variar, dependendo da gravidade das falhas relatadas. Não há limite pré-definido para o quão alto podem chegar, segundo o Twitter.

As recompensas cobrem vulnerabilidades que resultem em cross-site scripting (XSS), cross-site request forgery (CSRF), execução remota de código (RCE) ou acesso não autorizado aos tweets protegidos e mensagens diretas.

Mesmo antes do lançamento do programa oficial de recompensas, o Twitter já utilizava a HackerOne desde maio, período em que corrigiu mais de 40 bugs reportados através da plataforma. Mas o único reconhecimento público dado aos pesquisadores que relataram falhas diretamente para a empresa foi listá-los em sua página de segurança.

Programas de recompensa de bugs "são uma grande ferramenta - se bem feitos - para que as empresas controlem o processo de divulgação de falhas e incentivem os investigadores informar suas descobertas primeiro para seu pessoal de segurança", disse Carsten Eiram, da Risk Based Security, via e-mail . "Também estão sendo muito utilizados como ferramenta de PR, para mostrar que a empresa se preocupa com a segurança e trabalha com os pesquisadores", comenta.

Site: IDG Now!
Data: 06/09/2014
Hora: 13h55
Seção: Internet
Autor: Lucian Constantin
Link: http://idgnow.com.br/internet/2014/09/06/twitter-lanca-programa-de-recompensas-por-descoberta-de-bugs/