Apple abre su programa de Bug Bounty privado a todo el mundo

Hace ya unos meses, agosto de este año, que la compañía prometió abrir finalmente su programa por invitación a todos los investigadores de seguridad IT, ofreciendo recompensas monetarias a cualquier sujeto que notificara vulnerabilidades en los sistemas iOS, macOS, watchOS, tvOS, iPadOS e iCloud pertenencientes a la famosa empresa.

Aunque el lanzamiento oficial de este programa de recompensas fue hace tres años, este solo era seleccionable por un grupo de afortunados, ya que funcionaba mediante sistema de invitación.

Este verano fue cuando Ivan Krstic, jefe de Ingeniería y Arquitectura de Seguridad de Apple, en la conferencia Black Hat USA 2019 anunció el nuevo programa de recompensas en el que de manera operativa se incluyen tres nuevos aspectos:

• Se abre el programa para todos los investigadores.
• De conseguir una vulnerabilidad de máxima criticidad, el pago sería de 1.5millones de dólares (estaba establecido en 200.000$).
• Se aceptan informes de errores para todos sus sistemas operativos y hardware más reciente.

Es a partir del día 20 de este mes cuando este nuevo programa de recompensas se ha hecho oficial. Actualmente cualquier investigador es elegible para recibir un pago en efectivo por encontrar y divulgar funcionalidades vulnerables en las últimas versiones disponibles de los sistemas propietarios de la famosa empresa.

Las reglas que deben seguir estos investigadores IT para reportar los errores correctamente incluyen informar los detalles directamente al equipo de seguridad de Apple sin revelar nada al público hasta quedar zanjado y publicado cualquier parche implicado en el mismo.

No está de más destacar que la famosa compañía pagará un bono adicional del 50% del monto a todo aquel que informe de alguna vulnerabilidad de «regresión» que la compañía parcheó en anteriores versiones y que se reintrodujo por error en actualizaciones posteriores. Este monto adicional del 50% será incluido también en aquellos fallos descubiertos en la versión beta (pre-lanzamiento).

Desde Hispasec apoyamos todo sistema de recompensas que ayude a descubrir fallos antes de que algún atacante pueda aprovecharlo.

Dicho esto, espero que hayáis descubierto la frase oculta en el texto ;).