Bug bounty

Um programa de recompensa por bugs (bug bounty) é um programa oferecido por algumas organizações nos quais indivíduos podem receber recompensas^[1] por relatar bugs, especialmente aqueles relacionados a explorações de segurança e vulnerabilidades.

Esses programas permitem que desenvolvedores descubram e resolvam bugs antes que atinjam o público em geral, evitando incidentes maiores. Os programas de recompensas por bugs foram implementados por um grande número de organizações, incluindo Mozilla,^[2] Facebook,^[3] Yahoo!,^[4] Google,^[5] Reddit,^[6] Square^[7] e Microsoft.^[8]

História

A Hunter & Ready iniciou o primeiro programa conhecido de recompensa por bugs em 1983 para o seu sistema operacional Versatile Real-Time Executive. Qualquer pessoa que encontrasse e relatasse um bug receberia um Volkswagen Fusca (do inglês, Beetle, besouro, um trocadilho com bug, inseto).^[9]

Programas notáveis

Em outubro de 2013, o Google anunciou uma grande mudança em seu Programa de Recompensas por Vulnerabilidade. Anteriormente, havia sido um programa de recompensas por bugs que abrangem muitos produtos do Google. Com a mudança, no entanto, o programa foi ampliado para incluir uma seleção de aplicativos e bibliotecas de software livre de alto risco, principalmente aqueles projetados para rede ou para funcionalidades de baixo nível dos sistemas operacionais. Os envios que o Google considerasse pertinentes seriam elegíveis para recompensas que variavam de US$ 500 a US$ 3133,70.^[10][11] Em 2017, o Google expandiu seu programa para cobrir vulnerabilidades encontradas em aplicativos desenvolvidos por terceiros e disponibilizados na Google Play Store.^[12] O Programa de recompensas para vulnerabilidades do Google agora inclui vulnerabilidades encontradas nos produtos Google, Google Cloud, Android e Chrome e recompensa até US$ 31.337.^[13]

A Microsoft e o Facebook se uniram em novembro de 2013 para patrocinar o Internet Bug Bounty, um programa que oferece recompensas por relatar hacks em uma ampla gama de softwares relacionados à Internet.^[14] Em 2017, o GitHub e a Fundação Ford patrocinaram a iniciativa.^[15] O software coberto pelo IBB inclui Adobe Flash, Python, Ruby, PHP, Django, Ruby on Rails, Perl, OpenSSL, Nginx, Apache HTTP Server e Phabricator. Além disso, o programa oferecia recompensas por vulnerabilidades mais amplas que afetassem sistemas operacionais e navegadores da web amplamente utilizados, bem como a Internet como um todo.^[16]

Em março de 2016, Peter Cook anunciou o primeiro programa de recompensas por bugs do governo federal dos EUA, o programa "Hack the Pentagon".^[17] O programa ocorreu de 18 de abril a 12 de maio e mais de 1.400 pessoas enviaram 138 relatórios válidos exclusivos através do HackerOne. No total, o Departamento de Defesa dos EUA pagou US$ 71.200 em recompensas.^[18]

Ver também

• Caçador de Recompensa
• Cheque de recompensa de Knuth (Programa em 1980)
• Lista de problemas não resolvidos em ciência da computação
• Lista de problemas não resolvidos em matemática
• Mercado para explorações de dia zero
• Chapéu branco (segurança de computador)
• Zerodium

Referências

1. «The Hacker-Powered Security Report - Who are Hackers and Why Do They Hack p. 23» (PDF). HackerOne. 2017. Consultado em 5 de junho de 2018 
2. «Mozilla Security Bug Bounty Program». Mozilla (em inglês). Consultado em 9 de julho de 2017 
3. Facebook Security (26 de abril de 2014). «Facebook WhiteHat». Facebook. Consultado em 11 de março de 2014 
4. «Yahoo! Bug Bounty Program». HackerOne. Consultado em 11 de março de 2014 
5. «Vulnerability Assessment Reward Program». Consultado em 11 de março de 2014 
6. «Reddit - whitehat». Reddit. Consultado em 30 de maio de 2015 
7. «Square bug bounty program». HackerOne. Consultado em 6 de agosto de 2014 
8. «Microsoft Bounty Programs». Security TechCenter. Consultado em 2 de setembro de 2016. Cópia arquivada em 21 de novembro de 2013 
9. «The first "bug" bounty program». Twitter. 8 de julho de 2017. Consultado em 5 de junho de 2018 
10. Goodin, Dan (9 de outubro de 2013). «Google offers "leet" cash prizes for updates to Linux and other OS software». Ars Technica. Consultado em 11 de março de 2014 
11. Zalewski, Michal (9 de outubro de 2013). «Going beyond vulnerability rewards». Google Online Security Blog. Consultado em 11 de março de 2014 
12. «Google launched a new bug bounty program to root out vulnerabilities in third-party apps on Google Play». The Verge. 22 de outubro de 2017. Consultado em 4 de junho de 2018 
13. «Vulnerability Assessment Reward Program». Consultado em 23 de março de 2020 
14. Goodin, Dan (6 de novembro de 2013). «Now there's a bug bounty program for the whole Internet». Ars Technica. Consultado em 11 de março de 2014 
15. «Facebook, GitHub, and the Ford Foundation donate $300,000 to bug bounty program for internet infrastructure». VentureBeat. 21 de julho de 2017. Consultado em 4 de junho de 2018 
16. «The Internet Bug Bounty». HackerOne. Consultado em 11 de março de 2014 
17. «DoD Invites Vetted Specialists to 'Hack' the Pentagon». U.S. DEPARTMENT OF DEFENSE. Consultado em 21 de junho de 2016 
18. «Vulnerability disclosure for Hack the Pentagon». HackerOne. Consultado em 21 de junho de 2016 

Ligações externas

• Lista Internacional Independente de Programas de Recompensa e Divulgação de Bugs
• Lista de Recompensas do Bug da Multidão
• A Lista de Recompensas de Erros da Internet
• Programa de recompensas de bugs da AT&T
• Programa de recompensas por bugs do PayPal Inc
• Programa de recompensas para erros do Facebook Whitehat
• Programa de recompensas de bugs da United Airlines
• Programa de recompensa de vulnerabilidades do Google
• Programa de Aquisição de Vulnerabilidade Premium Zerodium
• A história dos programas de recompensas de bugs