Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
LinkedIn revela programa de recompensas por invitación
LinkedIn reveló el programa de recompensas por errores de programación que mantuvo a puerta cerrada durante los últimos ocho meses, ha pagado 65 mil dólares por vulnerabilidades descubiertas.
Esta recompensa está diseñada para "eliminar el ruido de la señal" de tal forma que únicamente los investigadores de seguridad verificados, que hayan enviado vulnerabilidades de forma consistente al correo de seguridad de LinkedIn, sean invitados.
Aquellos que saturaban el buzón de entrada con riesgos de phishing y ataques clickbait (enlaces o imágenes llamativas para hacer que el usuario de clic) fueron excluidos, permitiendo a LinkedIn tratar a los cazadores de errores como si fueran de la compañía, dijo Cory Scott, jefe de seguridad de la información.
"Los participantes en nuestro programa de recompensas privado han reportado más de 65 errores procesables y nosotros hemos implementado correcciones para cada uno exitosamente", dijo Scott antes de la presentación que dará en el BlackHat 2015.
"Mientras que la gran mayoría de los reportes enviados… no fueron procesables o significativos, un pequeño grupo de investigadores que siempre aportaba publicaciones excelentes apareció, con quienes era un placer trabajar y que mostraban una preocupación genuina por reducir los riesgos introducidos por esas vulnerabilidades".
"Este programa de recompensas privado le da a nuestro fuerte equipo interno de seguridad en aplicaciones la habilidad de enfocarse en asegurar la próxima generación de productos de LinkedIn, mientras interactúa con una pequeña comunidad de investigadores externos calificados".
Los hackers serán invitados a participar con base en su reputación y trabajos anteriores, lo que contribuye a superar el índice de ruido de 7 de cada 3 del programa, lo que excede significativamente el de los populares programas de recompensa públicos.
Aún así, Scott anima a otras generaciones de seguridad a que continúen enviando errores al buzón de security@LinkedIn, el cual es monitorizado constantemente.
LinkedIn utiliza el servicio de recompensas de errores HackerOne para ayudar a gestionar los pagos que, Scott dice, pueden ser un dolor en cuestiones de contabilidad.
La red social de profesionales cambió su enfoque de seguridad después de una devastadora violación de confidencialidad en 2012, donde los hashes SHA-1 de las contraseñas de 6.5 millones de personas fueron expuestos.
