Apple abre su programa de Bug Bounty a todos los investigadores de seguridad
- Vulnerabilidades
El programa, que antes funcionaba mediante invitación, permite que cualquier investigador pueda recibir un pago en efectivo por encontrar y divulgar funcionalidades vulnerables en iOS, macOS, watchOS, tvOS, iPadOS e iCloud, que deberán reportar al equipo de seguridad de Apple.
En el Bug Bounty Program de Apple, que fue presentado hace tres años, funcionaba mediante sistema de invitación, de manera que solo podían participar un grupo de investigadores selecionados. Ahora, la multinacional ha abierto su programa a todos los investigadores de seguridad IT, ofreciendo recompensas monetarias a cualquier sujeto que notifique vulnerabilidades en las últimas versiones disponibles de los sistemas iOS, macOS, watchOS, tvOS, iPadOS e iCloud.
Además de abrirse para todos los investigadores, el nuevo programa de recompensas incluye dos nuevos aspectos: se aceptan informes de errores para todos sus sistemas operativos y hardware más reciente y, se conseguir una vulnerabilidad de máxima criticidad, el pago sería de 1,5millones de dólares, frente a los 200.000 dólares establecidos anteriormente.
Las reglas que deben seguir estos investigadores IT para reportar los errores correctamente incluyen informar los detalles directamente al equipo de seguridad de Apple, sin revelar nada al público hasta quedar zanjado y publicado cualquier parche implicado en el mismo.
Apple pagará un bono adicional del 50% del monto a todo aquel que informe de alguna vulnerabilidad de regresión que la compañía parcheó en anteriores versiones, y que se reintrodujo por error en actualizaciones posteriores. Este monto adicional del 50% será incluido también en aquellos fallos descubiertos en la versión beta (pre-lanzamiento).