Un investigador de 19 años de Uruguay, el dueño de un restaurante en Cluj (Rumanía) o un profesor de Cambridge son solo tres de los 317 expertos que recibieron una recompensa por informar de vulnerabilidades, ayudando a los usuarios de Google a permanecer seguros durante 2018, según informó la empresa en su informe anual sobre su programa bug bounty.
Google premió con 3,4 millones de dólares a 1.319 aportaciones de estos investigadores provenientes de 78 países. La mayor recompensa fue de 41.000$, mientras que 181.000$ fueron donados a caridad.
El Google Vulnerability Reward Program (VRP o Programa de Recompensas por Vulnerabilidades) fue creado en 2010 para premiar a los investigadores que descubrían bugs en Chrome y otros productos de Google. Desde entonces, han pagado más de 15 millones de dólares.
En 2015, Google comenzó otro programa bug bounty para Android, su sistema operativo móvil. El año pasado, 1,7 millones de dólares fueron para expertos que encontraron problemas en Android o en el navegador de Google Chrome.
Gracias Ezequiel, Tomasz, Dzmitry y demás colaboradores
De los 317 investigadores que ganaron una recompensa el año pasado, Google ofreció un poco más de información sobre estos tres:
Ezequiel Pereira, un joven de 19 años de Uruguay descubrió una vulnerabilidad de ejecución de código remoto (RCE) que le permitía acceder a la consola de Google Cloud Platform. En mayo, CNBC informó que este era el quinto bug por el que recibía recompensa, pero con 36.000$ este era el que le había reportado más dinero.
Tomasz Bojarski de Polonia descubrió un problema Cross-site scripting (XSS). Los ataques XSS permiten a un atacante inyectar código malicioso en webs, permitiéndoles cambiar el compartimiento o apariencia de la web, robar información privada o realizar acciones en nombre de otros. Google dijo que Tomasz fue su cazador de bugs número uno y que el dinero que recibió lo utilizó para abrir un hotel y un restaurante.
Dzmitry Lukyanenka, un investigador de Minsk, Bielorrusia. Google dice que desde que perdió su trabajo, Dzmitry comenzó a buscar bugs a tiempo completo y que formó parte de su programa VRP, que ofrece soporte financiero a los cazadores de bugs.
Los fondos de seguridad y privacidad van al ámbito académico
Google dijo que también están trabajando con el mundo académico en proyectos específicos de investigación. Señalaron un proyecto de 2017 en el que investigadores de Google se unieron a un equipo del Instituto CWI de la Universidad de Ámsterdam para crear una colisión en la función criptográfica SHA1. Una colisión ocurre cuando dos unidades de datos distintas hash en algo que nunca debería ocurrir y que muestra la necesidad de postergar SHA1.
“Los avances académicos nos ayudan a mejorar la seguridad y la privacidad de datos para los próximos años” dijo Google. Por eso en noviembre de 2018, anunció los premios para la investigación en seguridad y privacidad. Son una manera de reconocer a los académicos que han realizado las mayores contribuciones en cada campo.
Estos son los ganadores, en cuyo nombre Google donó más de medio millón de dólares a sus universidades:
- Alina Oprea, Northeastern University: Seguridad Cloud
- Matthew Green, Johns Hopkins: Criptografía
- Thorsten Holz, Ruhr-Universität Bochum: Seguridad de sistemas
- Alastair Beresford, Cambridge: Seguridad y privacidad utilizable, seguridad móvil
- Carmela Troncoso, Ecole Polytechnique Fédérale de Lausanne: Aprendizaje automático privacidad / seguridad
- Rick Wash, Michigan State University: Seguridad y privacidad utilizable
- Prateek Saxena, National University of Singapore: Aprendizaje automático / seguridad web
Enhorabuena a todos los premiados. Buena suerte en la caza de bugs.
Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:
Dejar un comentario