Netflix está listo para invitar a investigadores de todo el mundo a participar en el programa de recompensas por errores de la empresa y ahora ha hecho público el plan
El 21 de marzo, el servicio de transmisión de contenido, que atiende a aproximadamente 117 millones de clientes en todo el mundo al ofrecer películas y programas de televisión, dijo en una publicación en Medium que se ha lanzado un programa de recompensas públicas.
En los últimos cinco años, Netflix ha estado aceptando informes de vulnerabilidad de piratas informáticos y ha estado reparando errores mediante configuraciones de divulgación responsable, así como un programa privado de recompensas por errores.
Sin embargo, el esquema de bonificación de errores ahora está listo para ser público y está alojado en la plataforma Bugcrowd.
Netflix dice que la medida permitirá a la compañía "continuar mejorando la seguridad de nuestros productos y servicios a la vez que fortalece nuestra relación con la comunidad".
Desde que el gigante de la transmisión estableció formas para que los investigadores divulguen vulnerabilidades en privado en 2013, se han resuelto más de 190 vulnerabilidades.
Sin embargo, una vez que Netflix solucionó los problemas relacionados con el manejo de informes, este sistema se amplió a un programa privado de recompensas por errores.
La compañía dice que en los últimos 18 meses y después de extender el alcance del plan más allá de los 100 mejores investigadores de Bugcrowd a más de 700 piratas informáticos, se han realizado un total de 275 presentaciones, de las cuales 145 informes eran válidos.
"Hemos intentado ajustar cosas como la calidad de triage, el tiempo de respuesta y las interacciones de los investigadores para crear un programa de calidad en el que los investigadores deseen participar", agregó Netflix.
Los objetivos incluyen el sitio web de Netflix, la API, el centro de ayuda y las aplicaciones móviles para iOS y Android.
Se recomienda un enfoque en errores de secuencias de comandos entre sitios (XSS), ejecución remota de código, fallas en la lógica de negocios, inyecciones de SQL y vulnerabilidades API, entre otros.
Los investigadores pueden ganar entre $ 100 y $ 15,000 por recompensa, dependiendo de la gravedad de la falla.
"Los ingenieros de Netflix tienen un alto grado de propiedad para la seguridad de sus productos y esto nos ayuda a abordar los informes rápidamente", dice la compañía. "Nuestros ingenieros de seguridad también tienen la autonomía y la libertad para tomar decisiones de recompensa de manera rápida en función de la matriz de recompensas y la severidad de los errores. Esto finalmente ayuda a crear una experiencia eficiente e ininterrumpida para los investigadores que es importante para participar en el programa".
"Estamos muy entusiasmados de lanzar nuestro programa público y esperamos ampliar nuestra comunidad de investigadores", agregó Netflix.
Los programas de bonificación de errores generalmente se consideran una forma aceptable para que los investigadores de seguridad informen vulnerabilidades, pero no todas las divulgaciones tienen un final feliz.
Fecha actualización el 2021-03-22. Fecha publicación el 2018-03-22. CategorIa: netflix. Autor: Oscar olg Mapa del sitio Fuente: zdnet