El gigante del software Salesforce ha revelado que pagó a los piratas informáticos más de 2,8 millones de dólares (2,05 millones de libras esterlinas/2,46 millones de euros) a través de su programa de recompensas por errores solo por invitación en 2021, con más de 4700 vulnerabilidades sospechosas en sus productos informadas a través del esquema.
Las recompensas por errores ahora son una herramienta bien aceptada y ampliamente utilizada entre las empresas de TI, que se benefician de las habilidades de los piratas informáticos para comprar la tranquilidad de saber que sus productos y servicios son seguros, y Salesforce fue una de las primeras organizaciones de este tipo en presentar una recompensa por errores. programa en 2015.
Esta es la primera actualización pública que ha proporcionado sobre su programa de recompensas por errores, que ha otorgado más de $ 12 millones en total de más de 22,000 informes en ese tiempo.
Chris Evans, CISO y director de piratería de HackerOne, socio de la plataforma de Salesforce, dijo: “Salesforce representa un ejemplo de primer nivel de cómo un programa de recompensas por errores bien administrado puede tener un impacto significativo y medible en la postura de seguridad general de una empresa.
“Su equipo de seguridad también lleva las cosas un paso más allá al solicitar de manera proactiva comentarios de la comunidad para mejorar el programa. Esta dedicación no solo define un programa líder en la industria, sino que también refleja la madurez de seguridad general de Salesforce y el compromiso de adelantarse a las amenazas de seguridad”.
Salesforce dijo que el programa había demostrado su valor al ayudarlo a mejorar los esfuerzos de seguridad preventiva “desde adentro hacia afuera”, lo que permitió a sus equipos de ingeniería comprender mejor cómo operan los actores maliciosos.
“Ser capaz de comprender los métodos que utilizan los piratas informáticos para encontrar vulnerabilidades me permite emplear los mismos métodos para proteger mejor nuestro software”, dijo Anup Ghatage, ingeniero de software de Salesforce.
El esquema de Salesforce opera dentro de un entorno de prueba controlado, que no es de producción, que refleja la funcionalidad real del usuario para permitir que los cazarrecompensas simulen ataques sin el riesgo de exponer los datos de los clientes. Todos sus productos y cambios de funciones pasan por el proceso después de las pruebas internas y antes de la implementación.
“Me atrajo convertirme en un hacker ético después de comenzar mi carrera como desarrollador”, dijo Inhibitor181, uno de los hackers que participa en el programa de recompensas por errores de Salesforce.
“No solo es más estimulante y menos monótono usar mis habilidades de programación para piratear legalmente los productos de las empresas globales, sino que también me permite hacer mi parte en la prevención del delito cibernético. No todos los hackers son malos”.
En el futuro, Salesforce está planeando una serie de evoluciones en su programa, comprometiéndose con una mayor cantidad de piratas informáticos para proteger su cartera en expansión y llevando las pruebas de sus productos impulsadas por piratas informáticos dentro del ciclo de desarrollo general.
Como parte de este último movimiento, recientemente introdujo promociones mensuales dirigidas que ofrecen recompensas multiplicadas, hasta el triple del pago estándar, a cambio de informes verificados sobre un producto específico. Su aplicación Trailhead Slack, que se lanzó oficialmente en el evento Dreamforce en septiembre, fue “atacada” de esta manera el verano pasado.
La compañía dijo: “Salesforce se compromete a avanzar en su programa de recompensas por errores y a asociarse con piratas informáticos éticos. La capacidad de encontrar y corregir vulnerabilidades antes de que los productos se implementen para los usuarios es fundamental para las iniciativas de seguridad más amplias de Salesforce y para mantener la confianza entre sus clientes, socios y todo el ecosistema”.
El crecimiento en el programa de Salesforce, que a pesar de tener siete años ahora ha pagado dos tercios de sus recompensas desde 2019, se refleja en el “mercado” más amplio de recompensas por errores, para el cual 2021 también fue un año de gran crecimiento.
Los datos de Bugcrowd, un especialista en recompensas de errores de colaboración colectiva, mostraron que los envíos y pagos válidos para las vulnerabilidades más críticas aumentaron significativamente en su plataforma el año pasado, particularmente dentro del sector de servicios financieros. Mientras tanto, los pagos dentro del sector del software aumentaron un 73%, dijo.
Este pico probablemente refleja la transformación digital provocada por la pandemia, pero Bugcrowd también cree que las fuerzas del mercado pueden estar en juego. Dijo que descubrir vulnerabilidades críticas ahora proporciona un valor tangible a los compradores y, por lo tanto, corresponde a las empresas de software, como Salesforce, encontrarlas.