Hemos visto el aumento de los programas de recompensas por errores en muchas grandes empresas de tecnología como resultado del creciente panorama de amenazas que, si no se controla, provocaría un daño tremendo a las infraestructuras y negocios críticos.
Adobe es el más reciente en lanzar su propio programa de divulgación de vulnerabilidades en la plataforma HackerOne. Pero a diferencia de sus pares, la compañía no ofrece incentivos monetarios a los investigadores que descubran fallas en los productos de la compañía. Esto está en marcado contraste con otras compañías como Google, que pagó $ 1.5 millones a los cazadores de errores solo en 2014, y Facebook pagó $ 1.3 millones por las miles de presentaciones que recibió el año pasado.
Además, el alcance de la investigación cubierta en el programa se limita solo a las aplicaciones web, lo que significa que si se encuentra una vulnerabilidad en un determinado producto de Adobe no especificado en el programa, será en vano. Por lo tanto, si encontró vulnerabilidades en el restablecimiento de contraseña de Adobe, los encabezados de seguridad, el indicador de cookies, las páginas estáticas y las vulnerabilidades de falsificación de solicitudes entre sitios, no se moleste en informarlo a Adobe.
Pero Adobe todavía anima a los investigadores a enviar vulnerabilidades encontradas en aplicaciones de escritorio como Adobe Reader, Flash Player y Acrobat.
El único beneficio que los investigadores pueden obtener al revelar vulnerabilidades en los productos de Adobe es un aumento en su puntaje en HackerOne.
El programa de divulgación de vulnerabilidades es un paso vital en el ciclo de vida seguro del producto de Adobe, cuyo objetivo es probar e invertir en recursos para evaluar productos. Esto sirve como una especie de consulta con la comunidad de investigación de seguridad en general. El valor proporcionado por los comentarios de los investigadores de seguridad es indispensable, y Adobe debe darse cuenta de que un mero crédito en la plataforma HackerOne podría no ser suficiente, a menos que algunos investigadores altruistas estén haciendo este trabajo.
Se puede recordar que los investigadores de seguridad comenzaron con su investigación de vulnerabilidades siendo recompensada con un reconocimiento en el boletín de Microsoft durante los primeros días. Los tiempos han cambiado, y con el aumento exponencial de las amenazas, los investigadores necesitan dinero en efectivo esta vez para seguir haciendo sus tareas.
Como mínimo, Adobe puede encontrar formas de incentivar su programa de divulgación de vulnerabilidades. En el peor de los casos, los investigadores podrían optar por vender el exploit a los piratas informáticos a cambio de dinero. Pero en primer lugar, ¿por qué Adobe dudaría en pagar a los investigadores de seguridad cuando tiene los recursos?
Una cosa que muchas empresas con programas de recompensas por errores tienen en mente es centrarse en eliminar las vulnerabilidades de seguridad como una clase completa y no como una sola solución que solo lleve al nacimiento de otra vulnerabilidad.
