“Al cerrar este año, compartimos una serie de actualizaciones sobre nuestro trabajo para proteger a las personas de todo el mundo contra diversas amenazas”. Así comienza un post publicado por Neta Oren, responsable del programa Bug Bounty de Meta, en el comparte algunos datos sobre la evolución del programa de recompensas por detectar fallos que puedan aprovechas los ciberdelincuentes de la compañía.
Este año, Meta ha pagado dos millones de dólares en recompensas, lo que eleva a 16 los millones que la compañía ha pagado a través de su programa Bug Bounty desde que se estableció en 2011. Desde sus comienzos, Meta ha recibido más de 170 000 informes, de los cuales más de 8.500 recibieron una recompensa. En 2022 se recibieron mil informes, de los que fueron recompensados 750. India, Nepal y Túnez son los tres países donde se han pagado más recompensas.
“Recibimos cientos de informes de errores impactantes en 2022 procedentes de investigadores de todo el mundo que han ayudado a hacer que nuestra comunidad sea más segura”, escribe Neta Oren.
Este año la compañía Meta lanzó nuevas pautas de pago para errores de ejecución remota de código móvil (RCE) y vulnerabilidades de Account takeover (ATO) y autenticación de doble factor (2FA). Ahora, las vulnerabilidades descubiertas relacionadas con apropiación de cuentas se pagan a 130,000 dólares para informes y los RCE móviles a 300.000 “lo que convierte a nuestro programa Bug Bounty en uno de los que mejor paga en la industria”
También explica el director del programa Bug Bounty de Meta que en última instancia, “cada informe se evalúa caso por caso y, en algunos casos, podría otorgarse más que el tope según el impacto evaluado internamente”.
La mayor recompensa que ha concedido Meta ha sido de 163.000 dólares a la investigadora de seguridad Yaala Abdellah por identificar un error en el flujo de recuperación de la cuenta de Facebook que podría permitir que un atacante restablezca las contraseñas y se haga cargo de una cuenta si no estaba protegida por 2FA.
