Bug bounty

Origem: Wikipédia, a enciclopédia livre.

Um programa de recompensa por bugs (bug bounty) é um programa oferecido por algumas organizações nos quais indivíduos podem receber recompensas[1] por relatar bugs, especialmente aqueles relacionados a explorações de segurança e vulnerabilidades.

Esses programas permitem que desenvolvedores descubram e resolvam bugs antes que atinjam o público em geral, evitando incidentes maiores. Os programas de recompensas por bugs foram implementados por um grande número de organizações, incluindo Mozilla, [2] Facebook, [3] Yahoo!, [4] Google, [5] Reddit, [6] Square [7] e Microsoft. [8]

História[editar | editar código-fonte]

A Hunter & Ready iniciou o primeiro programa conhecido de recompensa por bugs em 1983 para o seu sistema operacional Versatile Real-Time Executive. Qualquer pessoa que encontrasse e relatasse um bug receberia um Volkswagen Fusca (do inglês, Beetle, besouro, um trocadilho com bug, inseto). [9]

Programas notáveis[editar | editar código-fonte]

Em outubro de 2013, o Google anunciou uma grande mudança em seu Programa de Recompensas por Vulnerabilidade. Anteriormente, havia sido um programa de recompensas por bugs que abrangem muitos produtos do Google. Com a mudança, no entanto, o programa foi ampliado para incluir uma seleção de aplicativos e bibliotecas de software livre de alto risco, principalmente aqueles projetados para rede ou para funcionalidades de de baixo nível dr sistemas operacionais. Os envios que o Google considerasse pertinentes seriam elegíveis para recompensas que variavam de US$ 500 a US$ 3133,70. [10] [11] Em 2017, o Google expandiu seu programa para cobrir vulnerabilidades encontradas em aplicativos desenvolvidos por terceiros e disponibilizados na Google Play Store. [12] O Programa de recompensas para vulnerabilidades do Google agora inclui vulnerabilidades encontradas nos produtos Google, Google Cloud, Android e Chrome e recompensa até US$ 31.337. [13]

A Microsoft e o Facebook se uniram em novembro de 2013 para patrocinar o Internet Bug Bounty, um programa que oferece recompensas por relatar hacks em uma ampla gama de softwares relacionados à Internet. [14] Em 2017, o GitHub e a Fundação Ford patrocinaram a iniciativa. [15] O software coberto pelo IBB inclui Adobe Flash, Python, Ruby, PHP, Django, Ruby on Rails, Perl, OpenSSL, Nginx, Apache HTTP Server e Phabricator. Além disso, o programa oferecia recompensas por vulnerabilidades mais amplas que afetassem sistemas operacionais e navegadores da web amplamente utilizados, bem como a Internet como um todo. [16]

Em março de 2016, Peter Cook anunciou o primeiro programa de recompensas por bugs do governo federal dos EUA, o programa "Hack the Pentagon". [17] O programa ocorreu de 18 de abril a 12 de maio e mais de 1.400 pessoas enviaram 138 relatórios válidos exclusivos através do HackerOne. No total, o Departamento de Defesa dos EUA pagou US$ 71.200 em recompensas. [18]

Veja também[editar | editar código-fonte]

30em

  1. «The Hacker-Powered Security Report - Who are Hackers and Why Do They Hack p. 23» (PDF). HackerOne. 2017. Consultado em 5 June 2018  Verifique data em: |acessodata= (ajuda)
  2. «Mozilla Security Bug Bounty Program». Mozilla (em inglês). Consultado em 9 de julho de 2017 
  3. Facebook Security (26 April 2014). «Facebook WhiteHat». Facebook. Consultado em 11 March 2014  Verifique data em: |acessodata=, |data= (ajuda)
  4. «Yahoo! Bug Bounty Program». HackerOne. Consultado em 11 March 2014  Verifique data em: |acessodata= (ajuda)
  5. «Vulnerability Assessment Reward Program». Consultado em 11 March 2014  Verifique data em: |acessodata= (ajuda)
  6. «Reddit - whitehat». Reddit. Consultado em 30 May 2015  Verifique data em: |acessodata= (ajuda)
  7. «Square bug bounty program». HackerOne. Consultado em 6 Aug 2014  Verifique data em: |acessodata= (ajuda)
  8. «Microsoft Bounty Programs». Security TechCenter. Consultado em 2 de setembro de 2016. Cópia arquivada em 21 de novembro de 2013  |obra= e |publicação= redundantes (ajuda)
  9. «The first "bug" bounty program». Twitter. 8 July 2017. Consultado em 5 June 2018  Verifique data em: |acessodata=, |data= (ajuda)
  10. Goodin, Dan (9 October 2013). «Google offers "leet" cash prizes for updates to Linux and other OS software». Ars Technica. Consultado em 11 March 2014  Verifique data em: |acessodata=, |data= (ajuda)
  11. Zalewski, Michal (9 October 2013). «Going beyond vulnerability rewards». Google Online Security Blog. Consultado em 11 March 2014  Verifique data em: |acessodata=, |data= (ajuda)
  12. «Google launched a new bug bounty program to root out vulnerabilities in third-party apps on Google Play». The Verge. 22 October 2017. Consultado em 4 June 2018  Verifique data em: |acessodata=, |data= (ajuda)
  13. «Vulnerability Assessment Reward Program». Consultado em 23 March 2020  Verifique data em: |acessodata= (ajuda)
  14. Goodin, Dan (6 November 2013). «Now there's a bug bounty program for the whole Internet». Ars Technica. Consultado em 11 March 2014  Verifique data em: |acessodata=, |data= (ajuda)
  15. «Facebook, GitHub, and the Ford Foundation donate $300,000 to bug bounty program for internet infrastructure». VentureBeat. 21 July 2017. Consultado em 4 June 2018  Verifique data em: |acessodata=, |data= (ajuda)
  16. «The Internet Bug Bounty». HackerOne. Consultado em 11 March 2014  Verifique data em: |acessodata= (ajuda)
  17. «DoD Invites Vetted Specialists to 'Hack' the Pentagon». U.S. DEPARTMENT OF DEFENSE. Consultado em 21 de junho de 2016 
  18. «Vulnerability disclosure for Hack the Pentagon». HackerOne. Consultado em 21 de junho de 2016 

Erro de citação: Elemento <ref> com nome "Mozilla" definido em <references> não é utilizado no texto da página.

Erro de citação: Elemento <ref> com nome "Microsoft" definido em <references> não é utilizado no texto da página.

Ligações externas[editar | editar código-fonte]