Tor, el proyecto de software libre para navegar por Internet de manera segura y privada, ha abierto su programa de bug bounty para todos los usuarios y recompensará a los investigadores de seguridad con hasta 4.000 dólares por cada uno de los errores que encuentren en su plataforma.
Garantizar la seguridad de los usuarios se ha convertido en una de las principales prioridades para todas las compañías, especialmente para aquellas que ofrecen sus servicios en Internet. Con el objetivo de encontrar las vulnerabilidades de sus sistemas con rapidez para solucionarlas cuanto antes y evitar que puedan ser explotadas por los atacantes, muchas de las empresas solicitan la ayuda de los investigadores de seguridad a través de los bug bounty programs.
Seguro que en más de una ocasión has escuchado hablar de una iniciativa de estas características. A través de los bug bounty programs, las compañías ofrecen una serie de recompensas a los hackers de sombrero blanco para que descubran fallos de seguridad. Entre las empresas que utilizan este tipo de programas encontramos a Facebook, Google o Nintendo.
Tor se sumó a esta práctica hace un año y medio aproximadamente, pero su bug bounty estaba dirigido a investigadores privados. Gracias al programa, en este tiempo han sido identificados tres bugs DoS y cuatro de corrupción de memoria, según declara la plataforma. Sin embargo, una vulnerabilidad crítica que fue descubierta el pasado mes de noviembre fue detectada por otros investigadores ajenos al programa.
Diferencias entre Deep Web, Dark Web y Darknet
Para dar cabida a todos los investigadores que deseen participar, Tor ha abierto el bug bounty a todos los usuarios sin restricciones a través de HackerOne. El proyecto ofrece recompensas por reportar las vulnerabilidades de dos de sus principales productos, la red Tor y Tor Browser. El importe del premio depende de la gravedad del error y las cuantías van desde los 100 a los 4.000 dólares por cada fallo que se presente documentado. Para más información, dirígete a la página del proyecto en HackerOne.
