O programa de recompensas do portal funciona no Hacker One desde 2016, mas o GitHub está recebendo e recompensando relatórios de vulnerabilidade desde desde fevereiro de 2014
O GitHub, um dos repositórios de código mais populares da Internet, anunciou na semana passada já ter alcançado a soma de US$ 1 milhão pagos aos especialistas que descobriram vulnerabilidades em sua plataforma. O programa de recompensas do GitHub está no portal de bug bounties Hacker One desde 2016, mas os relatórios de vulnerabilidade estão sendo premiados desde fevereiro de 2014, informou sua assessoria de imprensa. Os programas desse tipo têm dado bons prêmios aos pesquisadores: somente no ano passado, a Microsoft pagou quase US$ 590.000 em recompensas nos seus programas e diz que conseguiu manter um tempo médio de resposta aos pesquisadores de 17 horas, apesar de um aumento de 40% no envio de relatórios.
Em 2019, o GitHub lançou vários recursos que foram adicionados ao seu programa de bug bounty, tais como funcionalidade para manter os engenheiros informados sobre relatórios que precisam de atenção, um recurso aprimorado de rastreamento de vulnerabilidades em atualizações de segurança automatizadas, GitHub para celular, GitHub para celular, GitHub Actions e Ferramenta LGTM da Semmle. A plataforma informou que alguns dos relatórios de vulnerabilidades sobre esses produtos se mostraram muito valiosos para o ciclo de desenvolvimento. O GitHub concedeu mais de US$ 20.000 em recompensas por bugs de segurança nesses produtos.
Veja isto:
Lançada primeira plataforma de bug bounty no Brasil
Face pagou R$ 82 mil a caçador de bug bounty
Um dos envios de vulnerabilidades mais importantes recebidos no ano passado foi um desvio de fluxo OAuth usando solicitações HEAD entre sites, o que efetivamente permitiu que um invasor ignorasse os controles da plataforma e autorizasse aplicativos OAuth sem nenhuma interação do usuário.
A plataforma conseguiu lançar um patch para essa vulnerabilidade severa três horas após o recebimento do envio inicial, embora a vulnerabilidade não estivesse sendo explorada na natureza. O pesquisador de relatórios recebeu uma recompensa de US $ 25.000 pela descoberta do bug.
Em agosto do ano passado, a plataforma participou do evento H1-702 em Las Vegas, onde os principais hackers da plataforma HackerOne foram convidados para três noites de hackers ao vivo. O evento, diz o GitHub, foi um sucesso e pagou mais de US $ 155.000 a pesquisadores em uma noite, com metade das recompensas sendo distribuídas por problemas de gravidade alta ou crítica.
A plataforma também conduziu um programa privado, apenas para convidados, onde alguns recursos foram visualizados antes do lançamento oficial, o que permitiu descobrir bugs antes que eles pudessem afetar os usuários. Mais de US $ 37.000 foram concedidos em prêmios por meio do programa privado.