Wordfence lanzó hoy un programa de recompensas por errores para proporcionar incentivos financieros a los investigadores de seguridad que informen sobre vulnerabilidades de alto riesgo en el programa de la empresa.
Después de que los investigadores revelan vulnerabilidades a Wordfence, la empresa las clasifica y se las revela de manera confidencial a los proveedores para que las solucionen. Cuando se publique la solución, la vulnerabilidad se incluirá en la base de datos pública de Wordfence, a la que se puede acceder de forma gratuita, siguiendo una política de divulgación responsable.
«No hay límite en las recompensas que un investigador individual puede ganar, y cada vulnerabilidad dentro del alcance recibida a través de nuestro proceso de envío gana una recompensa», dijo la analista de seguridad de Wordfence, Chloe Chamberland.
Wordfence recompensará a los investigadores que descubran vulnerabilidades en complementos y temas con más de 50.000 instalaciones activas. Algunos ejemplos de pagos incluyen los siguientes:
- $1,600 por una carga de archivos arbitrarios no autenticados, una ejecución remota de código, una escalada de privilegios a administrador o una actualización de opciones arbitrarias en un complemento o tema con más de un millón de instalaciones activas.
- $1,060 por una eliminación arbitraria de archivos no autenticados en un complemento o tema con más de un millón de instalaciones activas, suponiendo que wp-config.php se pueda eliminar fácilmente.
- $800 por una inyección SQL no autenticada en un complemento o tema con más de un millón de instalaciones activas.
- $320 por una vulnerabilidad de secuencias de comandos entre sitios no autenticada en un complemento o tema con más de un millón de instalaciones activas.
- $80 por una vulnerabilidad de falsificación de solicitudes entre sitios en un complemento o tema con más de un millón de instalaciones activas y un impacto significativo.
«Nuestro programa Bug Bounty ha sido diseñado para tener el mayor impacto positivo en la seguridad del ecosistema de WordPress», dijo Chamberland. “Las recompensas no se obtienen buscando vulnerabilidades en masa con un impacto mínimo y ganando un lugar en una tabla de clasificación, sino que se basan en el recuento de instalaciones activas, la criticidad de la vulnerabilidad, la facilidad de explotación y la prevalencia del tipo de vulnerabilidad. .”
El lanzamiento del programa de recompensas por errores de Wordfence estaba claramente compitiendo por un posicionamiento competitivo al llamar indirectamente a Patchstack, que opera su programa en un sistema de clasificación donde solo se les paga a los mejores investigadores. Hay algunas diferencias notables: algunas recompensas se otorgan a discreción, pero la mayoría de las recompensas individuales se otorgan por la puntuación más alta en varias categorías:
Patchstack garantiza un premio acumulado mensual de al menos $2425 (el premio acumulado más bajo posible). El miembro de Patchstack Alliance que acumule la mayor cantidad de puntos para un mes en particular a partir de sus informes enviados obtendrá la recompensa de $650, el segundo lugar obtendrá $350 y el tercero obtendrá $250.
Tenemos recompensas adicionales (recompensas individuales) por informar la vulnerabilidad con la versión CVSS más alta. 3,1 puntuación base; el mayor recuento de instalaciones activas; y para informar sobre un grupo de componentes afectados por la misma vulnerabilidad.
Patchstack puede recompensar a los miembros individuales de Patchstack Alliance a su discreción en función del impacto general de las vulnerabilidades que descubran.
Wordfence está adoptando un enfoque diferente al pagar por cada vulnerabilidad reportada dentro del alcance identificado por el programa.
Los investigadores del ecosistema de WordPress deben familiarizarse con los distintos programas de recompensas por errores y determinar la mejor vía para sus divulgaciones. Algunos complementos y empresas, como Elementor, Brainstorm Force, Automattic, Castos y WP Engine, tienen sus propios programas de recompensas por errores, con una variedad de pagos diferentes.
«Pagamos más por vulnerabilidad y pagamos por cada vulnerabilidad válida presentada», dijo el director ejecutivo de Wordfence, Mark Maunder. “Creemos que esta es la única forma justa de hacerlo porque la gamificación de un programa de vulnerabilidad es como tener empleados que trabajan, pero solo los que están en la cima de la clasificación reciben su pago. Si envía una vulnerabilidad válida, se le debería pagar por su trabajo”.
Maunder sostiene que los incentivos equivocados están reduciendo la calidad de la investigación presentada.
«Hay una cantidad extremadamente alta de vulnerabilidades de bajo riesgo y baja calidad que se envían a bases de datos como Patchstack», dijo. “Las vulnerabilidades que involucran una falsificación de solicitudes entre sitios son un ejemplo de esto. Los incentivos que estamos viendo alientan a los investigadores a generar un gran volumen de vulnerabilidades de bajo riesgo para ser recompensados. Estas cifras elevadas se utilizan luego para comercializar productos de seguridad”.
Maunder dijo que Wordfence ha estructurado su programa en torno a cambiar los incentivos para recompensar la investigación sobre vulnerabilidades de alto riesgo, en lugar de aumentar las métricas de marketing para una base de datos de vulnerabilidades en particular.
«Un gran volumen de vulnerabilidades de bajo riesgo en cualquier base de datos en particular perjudica a la industria porque crea trabajo para otras organizaciones que tienen que integrar estos datos, pero en su mayor parte es ruido inútil que nos vemos obligados a examinar, en lugar de representar cualquier cosa». riesgo del mundo real para la comunidad de usuarios”, dijo Maunder.
Como recién llegado al grupo de empresas de WordPress que ofrecen recompensas por errores, Wordfence ingresa al mercado con la intención de atraer más informes a través de bonificaciones adicionales (10 % durante los primeros 6 meses) y una estructura de bonificaciones que recompensa el encadenamiento de múltiples vulnerabilidades y documentación exhaustiva. y otros esfuerzos adicionales.
No todos los autores de un complemento o tema popular pueden darse el lujo de ofrecer su propio programa de recompensas por errores, y aquí es donde las empresas de seguridad están interviniendo para llenar los vacíos. Una mayor competencia entre empresas por una investigación de alta calidad sólo puede ser buena para los usuarios de WordPress, ya que proporciona más incentivos para proteger el ecosistema y potencialmente atraerá a investigadores más capacitados. Es probable que los programas de recompensas por errores evolucionen con el tiempo a medida que las empresas los perfeccionen para ofrecer el mejor valor a la investigación original.