O que é Bug Bounty?

O Bug Bounty aplica o princípio do crowdsourcing à segurança cibernética: mobilize uma comunidade de especialistas, teste um escopo e recompense esses especialistas por cada vulnerabilidade descoberta, de acordo com a gravidade e a qualidade do relatório fornecido. Iniciado pela Netscape em 1995, o Bug Bounty transforma a postura de segurança cibernética das organizações, reunindo eficácia, agilidade e ROI de segurança.

O que é uma plataforma Bug Bounty?

Uma plataforma Bug Bounty permite que uma organização envie um programa de recompesas por bug para uma comunidade de especialistas registrados nessa plataforma, e esses especialistas busquem e relatem as vulnerabilidades detectadas neste programa.

Como a BugHunt garante a integridade e a ética de seus especialistas?

Ao se registrar na nossa plataforma, nossos especialistas assinam nosso Termo de Adesão e Política de Privacidade, comprometendo-os a cumprir rigorosamente as regras de cada programa em que participam, bem como a confidencialidade dos dados aos quais eles provavelmente acessarão.

Além disso, os especialistas são submetidos a uma triagem prévia (background check) por meio de nossa plataforma para validar dados pessoais, bancários e experiências anteriores.

Finalmente, os especialistas são recompensados ​​com os pontos usados ​​para classificá-los em nossa plataforma. Essa classificação leva em consideração a qualidade de suas interações com os clientes e, portanto, os incentiva a oferecer a melhor experiência possível.

Como definir e controlar o orçamento do Bug Bounty?

A BugHunt oferece suporte em todas as fases do seu programa, desde a construção, lançamento e monitoramento, para que seu programa (escopo, política, régua de recompensa, quantidade e perfil de pesquisadores) seja consistente com o orçamento planejado.

O que é um "bughunter"?

Um bughunter, é um especialista em segurança da informação, que detecta e relata vulnerabilidades por meio de programa Bug Bounty, ou meios legais, portanto, trabalha na melhoria geral da segurança da informação e ajuda a manter a internet mais segura.

Como os especialistas são recompensados?

Para cada vulnerabilidade, apenas o especialista que enviou o primeiro relatório válido é recompensado. Os especialistas são recompensados ​​de acordo com uma grade predefinida para cada programa: o nível de severidade da vulnerabilidade, conforme qualificado pelo cliente, determina o valor da recompensa.

O pagamento de recompensas é gerenciado por uma plataforma de pagamento de terceiros que atende aos requisitos de conformidade internacionais e, portanto, garante a rastreabilidade dos fluxos financeiros.

Além dos pagamentos, também são atribuídos pontos, em particular de acordo com a qualidade do relatório e a correção. Esses pontos permitem que os pesquisadores subam em nosso ranking e, portanto, os incentivam a fornecer uma experiência qualitativa ao cliente.

Qual é a diferença entre um programa público e privado?

Um programa público é submetido a toda a comunidade de especialistas registrada na plataforma, portanto o programa fica disponível para todos.
O programa privado tem como grande diferencial a privacidade, ou seja, o programa fica restrito a um número específico de especialistas, os quais são convidados pela empresa.

O que é um relatório de vulnerabilidade "duplicado"?

Relatórios duplicados são relatórios enviados por diferentes pesquisadores para a mesma vulnerabilidade. Portanto, apenas o pesquisador que primeiro relatou a vulnerabilidade é recompensado.