Noticia El Bug Bounty de Apple no motiva a los hackers

Investigadores de seguridad piensan que Apple no está pagando lo suficiente por los agujeros de seguridad que se encuentran, según el Bug Bounty que la empresa lanzó. El programa de recompensas de seguridad, que lleva casi un año abierto, no motiva a los investigadores que encuentran fallos de seguridad. En otras palabras, la mayoría de los investigadores prefieren no compartir errores con Apple debido a los pagos "bajos" que se van a llevar. Para estos investigadores podrían obtener más dinero de fuentes de terceros. Esto supone un problema para Apple, ya que si los investigadores prefieren no contar estos fallos, los fallos quedan ahí expuestos.

Según comentó Nikias Bassen, un investigador de seguridad de la empresa Zimperium, la gente puede obtener más dinero si vende los fallos a terceros. Si la gente lo hace por dinero, éstos no van a ir a Apple a entregar los fallos de seguridad. Un bug de iOS, según comenta el famoso investigador Patrick Wardle, es demasiado valioso como para reportárselo a Apple. Como comentábamos antes, esto supone un grave problema para Apple, ya que parece no atraer la atención de los investigadores de seguridad.


Apple presentó su programa de recompensas o Bug Bounty a principios de agosto de 2016 en la Black Hat USA, uno de los mayores eventos de InfoSec. Apple ofrece recompensas de hasta 200.000 dólares dependiendo de la vulnerabilidad. Los componentes de firmware de arranque seguro proporcionan 200.000 dólares en los casos más críticos, mientras que las vulnerabilidades más pequeñas, como el acceso desde un proceso a datos de usuario proporcionan 25.000 dólares. Un gran debate el que le viene a Apple, ¿Qué opinas?

Publicado en Seguridad Apple - Google+ - RSS - Eleven Paths




Continúar leyendo...