Los programas de Bug Bounty permiten a los investigadores obtener un reconocimiento o, incluso, un beneficio por sus méritos a la hora de descubrir vulnerabilidades en ciertas plataformas o tecnologías. Es una forma de tener una auditoría continua y proactiva por parte de algunas compañía, lo cual mejorará, sin duda, la seguridad de los entornos. La gente de FlexiSpy planeó atraer a los investigadores de seguridad con el fin de revelar vulnerabilidades en su software.
El mes pasado, la firma FlexiSpy reveló sus planes vía Twitter para llevar su programa de Bug Bounty a HackerOne. El programa de recompensas ofrecía entre 100 y 5000 dólares para divulgar de forma privada errores. FlexiSpy indicó que el movimiento se encontraba en la etapa de aprobación. FlexSpy ofrece software para espiar para cualquier persona, por lo que, para muchos, no será una empresa muy ética. La idea de este software es permitir el rastreo de personas como niños, cónyuges o socios. Una vez pagado e instalado, el software espía permite a los usuarios escuchar de forma remota las llamadas en vivo, mirar los mensajes de texto, enviar SMS falsos, interceptar y ver contenido multimedia, leer correos electrónicos y/o comprometer otras aplicaciones como WhatsApp, Facebook, Skype o Instagram.
El CEO y el CTO de HackerOne aclararon la posición de la plataforma de Bug Bounty. Comentaron que FlexiSpy no es cliente, ya que los principios de la empresa chocan con la filosofía del programa de Bug Bounty. Además, el mes pasado un grupo de hackers llamados Deceptions comprometieron, supuestamente, FlexiSpy y filtraron el código fuente del software de la empresa. Esto provocó, junto a al propósito de consumo de FlexiSpy, las dudas de la gente de HackerOne.
La plataforma de Bug Bounty argumenta que en el supuesto caso de que FlexiSpy sea aceptada por HackerOne, la compañía deberá publicar una política de divulgación de vulnerabilidades y comprometerse a proteger a los hackers contra acciones legales, ninguna de las cuales está actualemten en uso. Interesante debate, sin duda, el cual no será el último asalto. Seguro que pronto, tenemos más noticias.
No hay comentarios:
Publicar un comentario