Google pagará por la notificación de vulnerabilidades en sus websites
Google ha anunciado que pagará en efectivo a los expertos en seguridad por información sobre fallos de seguridad en sus sitios web. Esta iniciativa sigue a otro programa similar en el que Google compensa económicamente a los investigadores por la notificación de brechas en su navegador Chrome.
De momento el nuevo programa está en fase “experimental”, según Google, que ya está pagando a los expertos que notifiquen vulnerabilidades en sus websites al equipo de seguridad de la compañía. “Además de permitirnos agradecer a quienes contribuyen de forma regular a mejorar la seguridad de nuestros sitios web, el nuevo programa atraerá a más investigadores y mejorará así la protección de nuestros usuarios”, explica la compañía en la entrada de blog donde anuncia la iniciativa.
El propósito perseguido por Google con la puesta en marcha de este programa es tener la oportunidad de cubrir las vulnerabilidades antes de que los ciberdelincuentes empiecen a explotarlas. Por ello, los investigadores interesados en participar deberán descubrir los fallos a la compañía en privado antes de hacerlos públicos. A cambio, recibirán de Google recompensas en efectivo que variarán entre los 500 y los 3.133 dólares, dependiendo de la gravedad de la brecha reportada.
Los investigadores tendrán que poner a prueba la seguridad de los sitios web de Google experimentando directamente con los servidores de la compañía, no con descargas sobre sus propios equipos. Como consecuencia, pueden correr el riesgo de quebrantar la ley o de interrumpir el servicio de Google. Para evitar estos inconvenientes, ésta ofrece algunas directrices sobre lo que es correcto y lo que no lo es según los términos del programa. Por ejemplo, no pagará por información sobre vulnerabilidades DoS –en las que los que las pruebas podrían hacer caer sus servidores- ni por información sobre fallos en su infraestructura corporativa.
La compañía ha entregado ya unas 50 recompensas de este tipo dentro de su programa para Chrome, lanzado el pasado enero. En cualquier caso, existen algunas líneas de Google que, al menos de momento, no están cubiertas por este tipo de iniciativas, como son Android, Picasa o Google Desktop.
El propósito perseguido por Google con la puesta en marcha de este programa es tener la oportunidad de cubrir las vulnerabilidades antes de que los ciberdelincuentes empiecen a explotarlas. Por ello, los investigadores interesados en participar deberán descubrir los fallos a la compañía en privado antes de hacerlos públicos. A cambio, recibirán de Google recompensas en efectivo que variarán entre los 500 y los 3.133 dólares, dependiendo de la gravedad de la brecha reportada.
Los investigadores tendrán que poner a prueba la seguridad de los sitios web de Google experimentando directamente con los servidores de la compañía, no con descargas sobre sus propios equipos. Como consecuencia, pueden correr el riesgo de quebrantar la ley o de interrumpir el servicio de Google. Para evitar estos inconvenientes, ésta ofrece algunas directrices sobre lo que es correcto y lo que no lo es según los términos del programa. Por ejemplo, no pagará por información sobre vulnerabilidades DoS –en las que los que las pruebas podrían hacer caer sus servidores- ni por información sobre fallos en su infraestructura corporativa.
La compañía ha entregado ya unas 50 recompensas de este tipo dentro de su programa para Chrome, lanzado el pasado enero. En cualquier caso, existen algunas líneas de Google que, al menos de momento, no están cubiertas por este tipo de iniciativas, como son Android, Picasa o Google Desktop.
