Netflix já pagou mais de US$ 1 milhão em bugbounty
31 de Maio de 2024

A Netflix desembolsou mais de US$ 1 milhão para sanar vulnerabilidades identificadas em seus sistemas e produtos desde o início do seu programa de bugbounty, em 2016.

Em um post de blog na última terça-feira(28), a corporação revelou que mais de 5.600 pesquisadores contribuíram para o programa, submetendo quase 8.000 relatórios de vulnerabilidade.

Destes, 845 vulnerabilidades foram recompensadas, sendo que mais de 25% foram categorizadas como de “gravidade crítica” ou “alta gravidade”.

Ao lançar seu programa público de bugbounty em 2018, a Netflix escolheu a plataforma Bugcrowd para hospedar e gerenciar essa iniciativa.

Recentemente, anunciou a transferência do programa para a HackerOne.

Em consequência dessa mudança, a Netflix promete uma melhor filtragem, recompensas mais altas, aumento do escopo, programas privados exclusivos e ciclos mais rápidos de feedback dos pesquisadores.

Questões relacionadas à autorização de conteúdo, inclusive a subversão dessa autorização e a obtenção de chaves privadas, podem levar os pesquisadores a receber entre US$ 300 e US$ 5.000.

Vulnerabilidades críticas que afetam o domínio Netflix.com podem valer até US$ 20.000 para os caçadores de bugs, enquanto lacunas relacionadas aos ativos corporativos podem valer até US$ 10.000 para os pesquisadores.

O programa também engloba os aplicativos móveis.

Recentemente, um pesquisador mostrou que vulnerabilidades na tecnologia de DRM (Digital Rights Management, ou Gestão de Direitos Digitais) PlayReady da Microsoft podem ser exploradas para fazer download ilegal de filmes de serviços de streaming populares, incluindo a Netflix.

O serviço de streaming não comentou a respeito quando a pesquisa veio à tona, conforme relatado pela SecurityWeek.

Não está confirmado se o ataque ao PlayReady seria elegível para o programa de bugbounty da Netflix, entretanto, o pesquisador que descobriu as vulnerabilidades do PlayReady, Adam Gowdiak, da AG Security Research na Polônia, sugeriu que – dado o impacto generalizado e o esforço despendido em sua pesquisa – ela vale muito mais do que a Microsoft e outras companhias afetadas estão preparadas para oferecer por meio de seus programas bugbounty

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...