La empresa de Mark Zuckerberg ha pagado 33,500 dólares por un “bug” de seguridad y es la recompensa más alta que Facebook ha pagado por algo similar. El valor de lo pagado refleja probablemente la severidad potencial del error encontrado. El programa “Bug Bounty” se inició en el 2011 y en sus propias palabras: “reconoce y compensa a los investigadores de la seguridad”.
Facebook atrajo mucha atención de publicidad negativa cuando el año pasado se negó a pagar una recompensa a un investigador de seguridad quien puso un mensaje en la página personal de Zuckerberg para demostrar la existencia del problema. Su enfoque, sin embargo, a los ojos de Facebook, fue irresponsable en su manera de actuar, en el procedimiento.
Este último pago de un “botín” fue al ingeniero brasileño Reginaldo Silva, por reportar un bug en una entidad XML externa (XXE), la cual permitía la lectura de un archivo arbitrario. Cabe notarse que en este caso quedó claro cómo se debe interactuar con el equipo de seguridad de Facebook. Silva rebasó por mucho el récord del pago anterior que se había hecho por hallar una falla en la seguridad, el cual había sido de 20,000 dólares.
Facebook ha indicado en un mensaje que la cantidad pagada refleja no solamente la severidad del problema, sino la forma en que fue presentado, rápido y con detalles suficientes para poder reproducirlo en primera instancia, después escalarlo en forma teórica, como el mejor hacker ético, como la manera de discutir cooperativamente con el equipo que otorga estas recompensas en Facebook.
Referencias: