Mozilla lleva ya 5 años con un programa de recompensas Bug Bounty con el que anima a expertos de seguridad a auditar sus aplicaciones (Firefox, Thunderbird, etc) en busca de posibles fallos de seguridad que puedan comprometer la seguridad de los usuarios.
Hasta ahora la recompensa máxima por un fallo de seguridad
crítico era de 3.000 dólares (2.650 euros). Tras 5 años sin modificar estas
recompensas finalmente la compañía ha decidido aumentarlas de cara a animar a
un mayor número de investigadores a auditar la seguridad de sus productos. A
partir de ahora un fallo de seguridad grave correctamente reportado y
demostrado puede pagarse con hasta 7.500 dólares (unos 6.650 euros).
Mozilla afirma también que si se reporta un fallo de seguridad
y se envía junto a un exploit o se descubre una nueva forma de aprovecharse de
un fallo de seguridad las recompensas podrían alcanzar hasta los 10.000 dólares
(8.870 euros).
El mínimo que se pagará por un fallo de seguridad crítico
aportando únicamente un volcado de memoria es de 3.000 dólares y los fallos de
seguridad no críticos recibirán una recompensa de entre 500 y 2000 dólares
según su peligrosidad y la calidad de la información aportada sobre la
vulnerabilidad.
En la web principal de la compañía podemos ver más información
detallada sobre su programa Bug Bounty así como los pasos a seguir para
reportar una vulnerabilidad. Estos pasos se resumen principalmente en crearse
una cuenta de Bugzilla, reportar el fallo indicando que es confidencial y
aportar toda la información que se pueda durante el proceso.
Un excelente movimiento por parte de Mozilla para mejorar la
seguridad de sus productos, especialmente la de Firefox debido a la alta
competencia existente en el mercado de los navegadores con Google Chrome e
Internet Explorer y con la llegada inminente de Microsoft Edge, el nuevo
navegador de la compañía que no va a poner las cosas fáciles a sus rivales.
Fuente: Redeszone.net
