El programa anterior de la compañía pagó alrededor de 212.000 dólares durante su vida útil. Cloudflare abre al público un programa de recompensas por errores de 3.000 dólares.
Cloudflare es un proveedor de infraestructura web y servicios de seguridad. Ahora ha anunciado el lanzamiento de su programa público de recompensas por errores.
Los cazadores de errores y los investigadores de seguridad ahora pueden informar sobre las vulnerabilidades encontradas en los productos de Cloudflare como parte del programa más reciente de la compañía. Este lo alojará HackerOne.
Anteriormente, se lanzó un programa de recompensas privado en 2018. Sucedió después de un programa de divulgación vulnerabilidades en 2014. La compañía pagó 211.512 dólares en recompensas durante la vigencia del mismo. 292 de los 430 informes recibieron una recompensa.
Cloudflare abre al público un programa de recompensas por errores de 3.000 dólares
Las recompensas por el último programa de Cloudflare varían según la gravedad de la vulnerabilidad. A cada fallo de seguridad se le asigna una clasificación de gravedad basada en el Estándar de puntuación de vulnerabilidad común (CVSS) versión 3.
Hay un pago de 3.000 dólares por un informe de vulnerabilidad crítica. Además, hay vulnerabilidades altas, medias y bajas que valen 1.000, 500 y 250 dólares respectivamente. Sin embargo, las recompensas varían para los objetivos secundarios y otros.
Como una forma de facilitar la investigación de vulnerabilidades, Cloudflare también desarrolló una caja de arena (sandbox) llamada CumulusFire. Esta proporciona un campo de juego estandarizado para que los investigadores prueben sus hazañas. El sandbox también ayudará a los equipos de seguridad de Cloudflare a reproducir posibles vulnerabilidades para su análisis.
«CumulusFire ya nos ayudó a abordar el goteo constante de informes en los que los investigadores configurarían su servidor de origen de una manera obviamente insegura. Esto es más allá de la configuración predeterminada o esperada. Después informarían que el WAF de Cloudflare no bloquea un ataque. Por política, ahora sólo consideraremos que WAF omite una vulnerabilidad si es reproducible en CumulusFire«. Esto es lo que explicaba Cloudflare.
Un buen lugar para comenzar es consultar la documentación en los portales API y para desarrolladores de Cloudflare. También el Centro de aprendizaje y sus foros de soporte. La firma también tiene como objetivo agregar documentación adicional y plataformas de prueba. También una forma para que los investigadores interactúen con sus equipos de seguridad para garantizar que las presentaciones sean válidas.