Después de dos años de mantener en privado su programa de recompensas, Yelp lo hace público y ha invitado a cazadores de vulnerabilidades a probar sus sitios, aplicaciones e infraestructura. 

"La retribución por encontrar vulnerabilidades será mayor de 15 mil dólares para los exploits con mayor impacto. Si nosotros aceptamos tu reporte, nuestro incentivo mínimo es de 100 dólares", dijo la compañía. 

Aparentemente, ellos ya habían pagado recompensas por errores a docenas de cazadores de fallos, los cuales a través de los años les ayudaron a encontrar y reparar cientos de vulnerabilidades potenciales; la compañía distribuyó un total de 65,360 dólares.

El programa ha sido establecido en HackerOne y Yelp ha pedido a investigadores buscar en los sitios de los consumidores, los sitios de los dueños de los negocios, aplicaciones móviles (para los usuarios y los dueños de las empresas), en el sistema de gestión online de Yelp Reservations, API públicas, centro de soporte y los blogs.

Con el fin de ayudarlos, han brindado un resumen de los activos: su localización, propósitos, detalles técnicos e indicadores sobre los que ellos deberían buscar.  

Yelp solicitó que se abstengan de corromper su sistema, de usar escáneres automáticos de vulnerabilidades, de realizar pruebas en sitios adquiridos recientemente y compañías por el periodo de un año tras la adquisición. También piden no realizar pruebas en propiedades vinculadas a Eat24, un servidor de comida en línea que Yelp compró en 2015.

No es inusual que las compañías establezcan primero un programa limitado, privado, sólo para invitados al programa de recompensas por vulnerabilidades, especialmente si sus activos son muchos y los equipos de seguridad, que tendrán que atender los reportes de vulnerabilidad y crear parches, son pequeños. 

De acuerdo con Vivek Raman, Director de Ingeniería de Yelp, finalmente el equipo de seguridad de la compañía es lo suficientemente maduro para manejar el escrutinio de sus activos que el programa traerá.