Através do novo programa público de recompensas por bugs, a Cloudflare pagará para quem encontrar falhas no seu serviço.
Famosa por seus serviços de CDN e DNS, a Cloudflare é uma empresa americana focada em infraestrutura da web e segurança de sites que protegem diversos sites, inclusive este Blog.
Agora, Cloudflare anunciou o lançamento de um novo programa público de recompensas por bugs.
Cloudflare pagará para quem encontrar falhas no seu serviço
O novo programa público de recompensas por bugs segue um programa de divulgação de vulnerabilidades sem recompensas em dinheiro criado em 2014.
Por meio desse programa, a Cloudflare recebeu 1.197 relatórios, apenas 13% deles válidos porque os pesquisadores estavam lutando para entender sua infraestrutura e produtos.
Em 2018, a Cloudflare lançou um programa privado de recompensas por bugs focado em fornecer uma experiência melhor para os pesquisadores.
Em meados de janeiro de 2022, a Cloudflare concedeu US$ 211.512 em recompensas por vulnerabilidades no escopo, passando de US$ 4.500 pagos em 2018 para US$ 101.075 em 2021.
A empresa também lançou um sandbox de teste chamado CumlusFire antes de lançar o novo programa de recompensas público, que fornece aos caçadores de bugs um playground padronizado para testar explorações.
A partir de hoje, os caçadores de bugs podem relatar vulnerabilidades de segurança encontradas nos produtos Cloudflare por meio do novo programa público de recompensas de bugs da empresa, hospedado na plataforma HackerOne.
“Hoje estamos lançando o programa público pago de recompensas por bugs da Cloudflare”, disse Rushil Shah, engenheiro de segurança de produtos da Cloudflare.
“Acreditamos que as recompensas por bugs são uma parte vital da caixa de ferramentas de todas as equipes de segurança e temos trabalhado duro para melhorar e expandir nosso programa privado de recompensas por bugs nos últimos anos”.
Os pesquisadores podem encontrar mais informações sobre os produtos da Cloudflare usando a documentação do desenvolvedor da empresa, a documentação da API, o Centro de aprendizado e os materiais encontrados nos fóruns de suporte da Cloudflare.
A divisão dos prêmios de recompensa para alvos com base na classificação de gravidade CVSS3 dos problemas pode ser encontrada na tabela abaixo.
| Gravidade | Crítico (9,0 – 10,0) | Alta (7,0 – 8,9) | Médio (4,0 – 6,9) | Baixo (0,1 – 3,9) |
|---|---|---|---|---|
| Alvos principais | $ 3.000 | $ 1.000 | $ 500 | $ 250 |
| Alvos Secundários | US$ 2.700 | $ 750 | $ 350 | $ 200 |
| De outros | $ 2.100 | $ 500 | $ 200 | $ 100 |
Dependendo dos fatores atenuantes de uma vulnerabilidade e da avaliação de risco comercial da Cloudflare, os problemas relatados podem receber uma classificação de gravidade mais baixa.
“Assim como aumentamos nosso programa privado, continuaremos a desenvolver nosso programa público de recompensas por bugs para fornecer a melhor experiência aos pesquisadores”, acrescentou Shah.
“Nosso objetivo é adicionar mais documentação, plataformas de teste e uma maneira de interagir com nossas equipes de segurança para que os pesquisadores possam ter certeza de que seus envios representam problemas de segurança válidos.”
