HackerOne, AT&T lanza su programa de Bug Bunty



Ayer AT&T anuncia el lanzamiento de un nuevo programa público de bug bounty en la plataforma HackerOne. Este programa permitirá a los investigadores de seguridad reportar errores de seguridad a AT&T para recibir una recompensa monetaria.
Muchas personas asocian a AT&T como una compañía de comunicaciones únicamente, cuando en realidad también poseen compañías de medios como WarnerMedia, WarnerMedia Entertainment, AT&T Latin America y Xander. Este programa de recompensas de errores ahora abarcará todo el "entorno en línea público de AT&T, incluidos todos los sitios web, API públicas, aplicaciones móviles y dispositivos propiedad de AT&T para detectar vulnerabilidades potenciales y divulgarlos de forma segura a AT&T".

Este no es el primer programa de recompensas de errores ejecutado por AT&T. Anteriormente ejecutaban un programa de recompensas a través de su plataforma de API de desarrollador de AT&T.

Sin embargo, este programa solo pagaba a los 25 principales investigadores trimestralmente en función del impacto de los errores reportados. Dado que los investigadores tienen que alcanzar un cierto umbral para ganar un premio de recompensa por errores y solo si sus errores tienen un cierto nivel de criticidad, había poco para incentivar a los investigadores a centrarse en los errores de AT&T.

Al hacer la transición a una plataforma HackerOne donde se paga a los investigadores por cada vulnerabilidad que se resuelva, esperan aprovechar el poder de una comunidad más grande mientras evalúan los informes a través de HackerOne.

Programa de recompensas de errores AT&T HackerOne

El programa de recompensas de errores de AT&T se lanzó de manera privada en julio al invitar a 100-150 investigadores con los que trabajaron en el pasado en su plataforma API de desarrollador de AT&T.
Desde entonces, el programa ha recibido 49 informes de errores enviados con un total de $ 8,150 recompensas de errores pagados. La recompensa promedio pagada es actualmente de $ 150, siendo su mayor $ 750.
Bajo este programa, los pagos por errores reportados son:
  • Crítico - $ 2,500
  • Alto - $ 750
  • Mediano - $ 300
  • Bajo - $ 150
AT&T no ha compartido qué tipos de errores se ajustan a cada clasificación y ha declarado que "el criterio utilizado para determinar el pago de una vulnerabilidad es únicamente a discreción de AT&T".