Investigadores descubren un fallo de seguridad... y los expulsan de la plataforma, ¿porqué? (Opinión)


what.png
Error | Pixaby

Que tal:

Gracias a todos por seguir leyendo estos artículos, soy desarrollador de sistemas y me gusta de vez en cuando apoyar algunos proyectos reportando errores, dando sugerencias (pueden ver un ejemplo de ello en el proyecto Reactos que aspira a ser un clon libre de Windows XP).

Errores resueltos en Reactos y reportados por un servidor:
bug01.png

Errores aún sin resolver en Reactos y reportados por un servidor:
bug02.png

No gano nada con ello, excepto ver que el producto mejora, pero hay quienes si se llevan algo de dinero al bolsillo reportando errores. Plataformas con Facebook, Steem y otros pagan a quien encuentre un error grave en sus sistemas (Reactos no paga nada porque viven de patrocinios, así que dinero ahí no hay).

Sin embargo hay una curiosidad que a mi parecer ya se está volviendo tendencia y que creo en lo personal le resta credibilidad a las mismas.

Hace unos años atrás un investigador de seguridad llamado Khalil Shreateh encontró un fallo grave en Facebook. Resulta que era posible escribir en el muro de una persona sin haber sido aceptado previamente como amigo por esa persona, reportó el problema al personal indicado pero le dieron respuesta evasivas y a grandes rasgos la respuesta de que eso no era algo grave. Como no fue ignorado decidió publicar un mensaje en el muro del propio dueño de Facebook "Mark Zuckerberg".

Esta vez la respuesta no se hizo esperar, en poco tiempo lo contactaron para pedirle más detalles del problema, mismo que repararon y terminaron echando al investigador por "violación de los términos de la plataforma", y claro, Facebook "paga" (o se supone que lo hace) por reportar este tipo de errores, pero en este caso no recibió ni un solo centavo. Pueden ver los detalles del caso visitando este enlace: https://www.unocero.com/noticias/hacker-publica-mensaje-en-el-muro-de-mark-zuckerberg/

Más recientemente, semanas atrás a la publicación de este artículo un caso similar. Un estudiante llamado Bill Demirkapide encontró fallos serios en el software que se usa en su escuela, igualmente reportó el error a los desarrolladores y la misma respuesta: ignorarlo y en vista de que no te toman en serio a no ser que algo grave pase pues tomó precisamente esa opción: probarles que había un fallo serio y que cualquiera podría tomar control de esos sistemas.

La respuesta fue la misma que en el caso Facebook: la expulsión, a Khalil (caso anterior) de Facebook y a Bill dos días de la escuela (pueden leer el caso visitando este enlace https://computerhoy.com/noticias/tecnologia/estudiante-descubre-fallo-afecta-millones-alumnos-solo-hicieron-caso-cuando-hackeo-escuela-472557), pero ahora hay un tercer caso:

Steam, de acuerdo con https://es.wikipedia.org/wiki/Steam es una plataforma para la distribución electrónica de videojuegos, es decir podemos comprar desde ahí los que gustemos y de una manera sencilla. Pues bien, Valve (la empresa tras al Steam) igual que Facebook "paga" (o dicen que pagan) por reportar errores considerados "graves". Pero esto ya ha quedado en entredicho luego de que "también" expulsara a uno de los investigadores de seguridad (Vasily Kravets) por reportar un error. Supuestamente este reporte "no cumplía las reglas del programa" y terminaron echados y obviamente, sin un peso encima de lo prometido.

Valve a tenido que reconocer que fue un error expulsar a este investigador, pero tampoco le ha compensado nada.
Leer la noticia:
https://www.genbeta.com/actualidad/investigadores-descubren-fallo-seguridad-steam-que-afecta-a-totalidad-sus-usuarios-windows
https://www.genbeta.com/actualidad/valve-admite-que-fue-error-expulsar-hackerone-al-investigador-que-descubrio-varias-vulnerabilidades

¿Qué tienen en común estos tres casos?

Que en los tres la empresa la empresa (y hasta una escuela) terminan echando de sus plataformas a quienes encontraron un error, ¿y porqué razón son expulsados?.

Facebook "paga" al menos [https://www.facebook.com/whitehat](500 dólares) por reportar un error mediante su programa "White Hat" y Valve mediante su programa HackerOne paga desde 200 hasta 1,500 dólares por encontrar fallos considerados "graves".

Nada mal, pero, "¿y si los echamos de nuestra plataforma con cualquier excusa, cuánto les pagaríamos?" (se pregunta Facebook y Valve), pues nada, es decir, 0.00 dólares.

Creo en lo personal que esa es la idea que tienen algunas empresas en este momento, simplemente no pagar, gracias por su participación. ¿Es justo?, por supuesto que no.

Conclusiones:

Trabajar reportando errores está bien, pero luego hay gente abusiva, reportar un error es pasar horas analizando un programa y tener la buena voluntad de reportarlo antes de que alguien más lo encuentre y lo explote, cosa que bien pudieron hacer estos investigadores. Así que como mínimo deberíamos respetar su trabajo y pagarles lo prometido. ¿o ustedes que opinan?


Comments 1