TikTok lanza el programa Bug Bounty entre los Snafus de seguridad - Calendae | Informática, Electrónica, CMS, Ciberseguridad

TikTok lanza el programa Bug Bounty entre los Snafus de seguridad

Hola otra vez. Yo soy Eduardo Arroyo y en el día de hoy te voy a hablar sobre TikTok lanza el programa Bug Bounty entre los Snafus de seguridad

TikTok lanza el programa Bug Bounty entre los Snafus de seguridad

El movimiento es un cambio de dirección distinto para la aplicación, que ha sido criticada e incluso prohibida por sus prácticas de seguridad.

TikTok ha ampliado su política de divulgación de vulnerabilidades para incluir un programa global de recompensas por errores a través de una asociación con la plataforma de hackers éticos HackerOne. El lanzamiento del programa de recompensas por errores marca una nueva dirección para la aplicación para compartir videos de propiedad china, que ha sido muy difamada por sus cuestionables prácticas de seguridad.

Los piratas informáticos que encuentren vulnerabilidades críticas en la plataforma de TikTok pueden recibir entre $ 6,900 y $ 14,800 según el programa, que marca la primera vez que TikTok invita a la comunidad de seguridad pública a escanear su plataforma en busca de vulnerabilidades.

«Esta asociación nos ayudará a obtener información de los mejores investigadores de seguridad, académicos y expertos independientes del mundo para descubrir mejor las amenazas potenciales y fortalecer las defensas de seguridad de TikTok», dijo Luna Wu, del equipo de seguridad global de TikTok. en una publicación de blog el jueves revelando la asociación.

El programa invita a los piratas informáticos éticos a presentar una amplia gama de vulnerabilidades en la aplicación, incluidas las relacionadas con: XSS, CSRF, SSRF, SQL Injection, ROP o JOP; bloqueos reproducibles con rastros de pila; credenciales confidenciales filtradas o cifradas; API explotables y peligrosas; controlar los ataques de secuestro de flujo; filtraciones de datos del usuario; vulnerabilidades de autenticación o autorización; o acceso a recursos internos de TikTok.

Una lista completa de vulnerabilidades cubiertas por el programa está disponible en TikTok página de destino. Para enviar errores para su evaluación dentro del programa, los investigadores pueden usar un formulario en linea, Dijo Wu.

Los premios del programa se basan en la gravedad de acuerdo con el Common Vulnerability Scoring Standard (CVSS), que se utiliza universalmente para evaluar el riesgo de vulnerabilidades de seguridad. Además de las recompensas más altas para los errores que obtienen calificaciones críticas, los piratas informáticos pueden ganar entre $ 1,700 y $ 6,900 por vulnerabilidades calificadas como «altas»; $ 200 a $ 1,700 por errores clasificados como «medianos»; y de $ 50 a $ 200 por errores clasificados como de «bajo» riesgo.

TikTok, propiedad de ByteDance con sede en China, ha sido prohibido en algunos países y se dirigía al mismo destino en los Estados Unidos principalmente debido a sus prácticas de seguridad relacionadas con la supuesta relación íntima de ByteDance con el gobierno comunista chino, que los expertos creen que ha puesto en riesgo los datos de sus 100 millones de usuarios estadounidenses. La aplicación ha utilizado varias tácticas para recopilar datos de dispositivos Android y iPhone sin que los usuarios lo sepan, entre otras prácticas sospechosas.

En vísperas de una prohibición en los Estados Unidos, el propietario de TikTok ByteDance llegó a un acuerdo para vender participaciones significativas de propiedad a Oracle y Walmart, un acuerdo actualmente en revisión. Oracle acordó tomar una participación del 12,5% en la empresa china, mientras que Walmart asumirá una participación del 7,5%; Juntas, las compañías pagarán un total de $ 12 mil millones por la participación del 20% en la propiedad para cubrir las operaciones de TikTok en los Estados Unidos.

No está claro si este acuerdo es lo que alienta a los custodios de TikTok a ser más transparentes sobre la seguridad de las aplicaciones, pero el programa ampliado de recompensas por errores probablemente mejorará su seguridad general y, por lo tanto, su posición en el mundo de la seguridad tecnológica en general. los observadores dijeron. Junto con la asociación HackerOne, TikTok también está lanzando una serie de videos en los que los empleados alientan a los usuarios a practicar una buena higiene cibernética.

«Dichos programas pueden atraer una mezcla diversa de investigadores talentosos que pueden examinar aplicaciones con perspectivas y experiencias únicas que pueden no estar necesariamente disponibles en los equipos de Seguridad Nacional», dijo Tim Mackey, estratega principal de seguridad, CyRC, en Synopsys, en un correo electrónico a Threatpost.

Señaló que la medida de TikTok se produce a raíz de la expansión de Apple de su anterior programa privado de recompensas por errores al ámbito público, que ya ha producido una serie de revelaciones clave de vulnerabilidades para el gigante tecnológico.

Dado que TikTok es más popular entre los adolescentes, quienes probablemente no piensan mucho en cómo las aplicaciones que usan pueden espiarlos, el programa también «puede hacer mucho para mejorar la seguridad general de cómo interactúan con las aplicaciones y administran los datos que tienen». creado ”, añadió Mackey.

.

No te olvides compartir en tu Facebook para que tus colegas lo vean

??? ? ? ???

Comparte

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *