A Netflix pagou mais de US$ 1 milhão por vulnerabilidades encontradas em seus sistemas e produtos desde o lançamento de seu programa de recompensas por bugs, em 2016. Num blog publicado terça-feira, a empresa informou que mais de 5.600 pesquisadores contribuíram para seu programa e enviaram quase 8.000 relatórios de vulnerabilidade. Foram pagas recompensas por 845 vulnerabilidades, mais de 25% delas classificadas como “gravidade crítica” ou “alta gravidade”.
Quando lançou seu programa público de recompensas por bugs em 2018, a Netflix usou o Bugcrowd para hospedar e gerenciar a iniciativa. A empresa anunciou agora que seu programa foi transferido para a plataforma HackerOne.
Veja isso
Dell, Apple e Netflix processadas por encerrar serviços na Rússia
PSafe anuncia programa de recompensas na Bugcrowd
Com esta mudança, a Netflix promete uma triagem melhorada, maiores faixas de recompensas, um escopo expandido, programas privados exclusivos e ciclos de feedback dos pesquisadores.
Problemas de autorização de conteúdo, que incluem subverter a autorização de conteúdo e obter chaves privadas, podem render aos pesquisadores entre US$ 300 e US$ 5.000.
Vulnerabilidades críticas que afetam o Netflix.com podem render aos caçadores de recompensas de bugs até US$ 20.000, enquanto falhas relacionadas a ativos corporativos podem render aos pesquisadores até US$ 10.000. Os aplicativos móveis também são cobertos pelo programa de recompensas por bugs.
Um pesquisador demonstrou recentemente que vulnerabilidades na tecnologia de acesso e proteção de conteúdo PlayReady da Microsoft podem ser exploradas para baixar ilegalmente filmes de serviços populares de streaming, inclusive do Netflix.
O serviço de streaming não respondeu ao pedido de comentários da SecurityWeek quando a pesquisa veio à tona.
Não está claro se o ataque ao PlayReady se qualificaria para o programa de recompensas de bugs da Netflix, mas o pesquisador que descobriu as vulnerabilidades do PlayReady, Adam Gowdiak, da AG Security Research, com sede na Polônia, sugeriu que – dado seu impacto generalizado e o esforço investido nele – sua pesquisa é vale muito mais do que a Microsoft e outras empresas afetadas estão dispostas a oferecer através de seus programas de recompensa por bugs.
