HackerOne: descubre fallos en aplicaciones y recibe una gratificación económica.
Hace poco descubrí HackerOne, un servicio donde los desarrolladores de aplicaciones y servicios publican programas de gratificación por descubrir vulnerabilidades en sus sistemas. Esto fomenta el llamado white hat hacking, donde el hacker pasa de ser esa persona mala que actúa en beneficio propio, a verse como un individuo con grandes conocimientos informáticos y unos sólidos principios que actúa por el bien de la comunidad y es recompensado por ello. Podríamos ver al Hacker como la versión moderna del científico, donde por un lado encontrábamos al que dedicaba su vida a la mejora de la humanidad, y por otro al científico villano movido por sus ansias de poder.
Básicamente lo que nos interesa saber es que muchos de los servicios que utilizamos a diario, tienen programas de gratificación (económica) para todos aquellos que les informen de una vulnerabilidad. Youtube, Yahoo, Twitter, Facebook, Blogger… la lista es bastante extensa. Muchos pensaréis que esto no está a vuestro alcance ya que no sois hackers white hat. Bueno, en realidad esto no es así. Muchos usuarios, en su día a día, se encuentran con fallos en servicios ampliamente utilizados y simplemente pasan de largo. Es cierto que muchas vulnerabilidades o fallos requieren de conocimientos avanzados para ser descubiertos, pero otros simplemente se los topa el usuario de a pie, quizá haciendo alguna acción que el equipo de desarrollo no había previsto. Yo mismo, si escribo esto, es porque hace unas semanas descubrí un fallo en Coinbase, un servicio de carteras bitcoin en la nube, sin haber hecho nada que un usuario corriente sin conocimientos informáticos habría podido hacer. Y así, comentándolo con otros usuarios, es como conocí HackerOne, donde Coinbase tiene un programa de gratificación.
Aunque el fallo que descubrí me beneficiaba, decidí sin todavía tener conocimiento de HackerOne, hacer lo correcto y reportar el bug por la vía tradicional. Descubrí HackerOne demasiado tarde, así que me quedé sin gratificación. Una pena, la gratificación mínima de Coinbase es de 1000 USD, y no hay tope máximo.
Este hecho me hizo pensar que a partir de ahora hay que tener los ojos bien abiertos, ya que podemos recibir una grata sorpresa al contribuir a la mejora de los servicios y aplicaciones que utilizamos a diario.
HackerOne es solo una de las plataformas a través de las cuales se publican los programas de gratificación, y es la vía que los usuarios deben utilizar para reportar los fallos, pero hay servicios que tienen sus propios programas de gratificación fuera de estas plataformas. Aquí os dejo una lista de servicios que ofrecen dinero a cambio de reportar fallos.
Espero que a partir de ahora, cada vez que encontréis un fallo, acudáis a uno de estos programas de gratificación y recibáis una justa recompensa por hacer lo correcto.
He descubierto una aplicación con un grave fallo como hacer para decirlo y para tener compensación economica
Tendrías que abrirte una cuenta en Hackerone.com y buscar dentro del directorio la web o aplicación para la que has descubierto bug. Una vez encontrada hay un botón para reportarlo.
Antes de abrirte la cuenta te aconsejo que eches un vistazo al directorio para asegurarte de que la web o aplicación para la que has descubierto el bug tiene un programa de remuneración: https://hackerone.com/directory
Saludos