Salesforce anunció esta semana que recompensó a los piratas informáticos éticos con más de 2,8 millones de dólares en recompensas por encontrar vulnerabilidades a lo largo de 2021.
El año pasado se enviaron a Salesforce más de 4.700 informes sobre vulnerabilidades sospechosas, y la recompensa más alta pagada fue de $30.000.
Desde el lanzamiento de su programa de recompensas por errores en 2015, Salesforce ha pagado alrededor de $12,2 millones en total y ha aceptado alrededor de 22 200 informes. Más de 9,5 millones de dólares han llegado desde 2019, según datos de Salesforce.
El ingeniero de software de Salesforce, Anup Ghatage, dijo que los equipos de ingeniería usan datos del programa de recompensas por errores «para comprender mejor las tendencias y metodologías de los piratas informáticos maliciosos».
«Ser capaz de comprender los métodos que utilizan los piratas informáticos para encontrar vulnerabilidades me permite emplear los mismos métodos para asegurar mejor nuestro software», dijo Ghatage.
Salesforce explicó que una vez que los productos y las funciones se prueban internamente, se les pide a los piratas informáticos éticos que intenten probar las funciones de seguridad en las cajas de arena.
Como ejemplo, dijeron que la aplicación Trailhead Slack se usó como una promoción de recompensas en agosto antes de su lanzamiento en septiembre. Un hacker que participó en el programa, Inhibitor181, dijo que comenzó en la piratería ética después de convertirse en desarrollador.
«No solo es más estimulante y menos monótono usar mis habilidades de programación para piratear legalmente los productos de las empresas globales, sino que también me permite hacer mi parte en la prevención del ciberdelito. No todos los piratas informáticos son malos», dijeron.
En octubre, Google y Salesforce anunciaron la creación de una línea de base de seguridad cibernética neutral para el proveedor llamada Producto de seguridad mínimo viable (MVSP), que dijeron que era un esfuerzo para «elevar el nivel de seguridad y simplificar el proceso de investigación» para proveedores externos. .