martes, mayo 19, 2015

HackerOne: Un "Broker" para reportar bugs y ganar dinero con Bug Bounties

Hoy os quiero hablar HackerOne, una plataforma que facilita la comunicación entre el equipo de seguridad de una empresa con profesionales o con principiantes en la seguridad informática también llamados hackers. Gracias a HackerOne se han corregido miles de fallos y actualmente se ha pagado 2.49 Millones de Dólares o 2.30 Millones de Euros.

Figura 1: HackerOne: Un "Broker" para reportar bugs y ganar dinero con bug bounties

Entre las empresas que podemos encontrar hay algunas muy famosas como TwitterYahoo!Dropbox y la propia HackerOne inclusive. Además, hay un programa financiado por organizaciones preocupadas por la seguridad de los demás llamado Internet Bug Bounty, que básicamente está enfocado al reporte de bugs que afectan a todo Internet, como los casos de Heartbleed o ShellShock.

Funcionamiento de HackerOne

Del dinero que se paga por los bugs descubiertos un 20% se lo lleva HackerOne, como broker de reporte. A cambio de ese 20% HackerOne se hace responsable de que al hacker le llegue todo el dinero, evitando los formularios de impuestos y demás quebraderos de cabeza. Por lo que tu equipo no tiene que preocuparse en que los hackers sean pagados y puede centrarse en trabajar. A día de hoy estas son las estadísticas de la web:

Figura 2: Estadísticas de HackerOne

Supongo que estaréis pensando, ¿solo hay 83 empresas registradas? En realidad no, además de programas públicos en los que cualquiera puede participar también hay programas en los que solo se puede acceder por invitación, ya sea porque  quieren tener controlados el número de usuarios, estén probando HackerOne o simplemente no quieran aparecer en la lista de programas.

Muchas de las empresas dan recompensas que van desde los 10 a 20.000 dólares y ese dinero lo puedes pasar a una cuenta de Paypal, un monedero de BitCoins o donarlo a una organización de caridad. La edad mínima para cobrar un premio es de solo 13 años.

Figura 3: Interface de reporte de bugs

Os dejo una captura de pantalla en la que se muestra un reporte realizado a HackerOne por un usuario. Como podéis observar la interfaz es simple. Si ponemos el cursor encima de un nombre de usuario veremos información básica sobre el: el número de bugs encontrados - sólo los aceptados -, las veces que le han dado las gracias y la reputación que tiene.

Gestión de la reputación en HackerOne

La reputación es calculada en base al número de reportes aceptados, los no aceptados por duplicados o porque el bug no existe.

Ganas reputación si:
● Tu reporte es cerrado como “Resuelto”: +7 (Si te han premiado aumenta)
● Tu reporte es cerrado como “Duplicado ( Resuelto) “ Solo se aplica si se envio antes de que el otro reporte fuera solucionado.
● Tu reporte es cerrado como “No se va a resolver” +1
● Tu reporte es cerrado como “Duplicado (No se va a resolver) “ +1
Pierdes reputación si:
● Tu reporte es cerrado como “No aplicable” ­5
● Tu reporte es cerrado como “Duplicado (No aplicable)” ­5
● Tu reporte es cerrado como “Necesita más información” ­1
Si tienes mucha reputación obtendrás algunos privilegios como poder ser invitado a programas antes de que estén disponibles al público por otro lado, si tu reputación baja se limitará el número de reportes que podrás enviar en un periodo de tiempo.

Ventajas de utilizar HackerOne como plataforma de reporte de bugs

Para mi las ventajas de usar HackerOne son estas:
● Evita el papeleo a los equipos de seguridad
● Permite que cualquier persona reporté siendo reconocido por su trabajo y premiado por ello.
● Fomenta la búsqueda de fallos que puedan afectar a todo Internet
● Servicio gratuito que asegura la seguridad de los reportes y anonimato de los usuarios.
Mi conclusión personal es que HackerOne es una herramienta que fomenta la búsqueda de fallos gracias a que cualquier persona interesada puede participar y ser reconocida por su trabajo. Es gracias a esa motivación que las empresas registradas se vuelven más seguras haciendo que Internet sea un lugar más seguro.

Autor: Daniel Sesé

3 comentarios:

  1. Muchas gracias por la info, el que la sigue la consigue ;-)

    Salu2!

    ResponderEliminar
  2. Buenas noches

    Tengo una duda , ¿Que implicaciones legales se podría tener al reportar una vulnerabilidad? , como una persona esta protegida al reportar una vulnerabilidad o bug sin tener algún problema legal.

    Gracias de antemano por la información

    ResponderEliminar
  3. Tenemos que llevar el ataque en la plataforma de hackerone? o solo con el dominio podemos empezar el ataque, mi duda va por si puedo atacar sin preocuparme de algo mas que buscar bugs para reportarlos, Dr.chema alonso muchas gracias por subir tus conferencias a youtube.

    ResponderEliminar