Cómo el programa de recompensas por descubrir errores de Dashlane nos ayuda a ser más seguros
Publicado originalmente el 16 de octubre de 2020. Actualizado por última vez el 5 de mayo de 2023.
La seguridad es fundamental para un administrador de contraseñas como Dashlane. Diseñamos el producto para ayudar a nuestros clientes a almacenar su identidad digital, sus credenciales, su información personal y sus pagos de una forma cómoda y segura.
Para asegurarnos de que mantenemos el más alto nivel de seguridad, nos basamos en muchas prácticas y capas de seguridad que se acumulan unas sobre otras. He aquí algunas:
- A medida que desarrollamos el producto, cada línea de código pasa por una revisión interna obligatoria del código que hacen varios revisores de nuestro equipo de ingenieros.
- Ejecutamos herramientas automatizadas para detectar posibles fallos de seguridad en nuestro sistema.
- El ciclo de vida de desarrollo de nuestro software se basa en las convenciones y prácticas recomendadas de los marcos de conformidad estándar, como las directrices de OWASP, Google, Apple y Microsoft, PCI-DSS y SOC2.
- Nuestro equipo de seguridad independiente apoya a toda la organización para garantizar que tenemos las reglas de seguridad adecuadas.
- Recientemente, decidimos hacer que el código fuente de nuestras aplicaciones móviles esté disponible públicamente para que incluso más personas puedan auditarlo.
- Por último, pero no menos importante, confiamos en los programas de recompensas por descubrir errores de seguridad para maximizar el número de personas con talento que observan todas nuestras aplicaciones y servicios y nos plantean cuestiones.
¿Qué es un programa de recompensas por errores?
Un programa de recompensas por errores es una forma de que una organización solicite a los piratas informáticos de sombrero blanco y a los investigadores de seguridad que busquen vulnerabilidades y fallos de seguridad en el producto y los recompensen con premios (dinero) de acuerdo con la gravedad del problema encontrado.
Los piratas informáticos de sombrero blanco son expertos en seguridad informática éticos que se especializan en encontrar problemas de seguridad. Informan de errores de seguridad a una organización para brindarle la oportunidad de mejorar la calidad y la seguridad de su producto. Estos piratas informáticos pueden hacerlo de forma gratuita, por el mero hecho de ayudar a mejorar la seguridad para todo el mundo, o a cambio de una recompensa, como un premio. Esto se suele denominar divulgación responsable: cuando un pirata informático de sombrero blanco descubre un problema de seguridad, informa a la organización para que pueda corregir la vulnerabilidad antes de que se explote de forma maliciosa o se divulgue públicamente.
El programa de recompensas por errores de Dashlane
En Dashlane llevamos desde 2015 llevando a cabo un programa de recompensas por errores en una plataforma llamada HackerOne. HackerOne nos pone en contacto con miles de expertos en seguridad y piratas informáticos de sombrero blanco. A nuestro jefe de seguridad le gusta llamarlo «el Uber de la seguridad». La plataforma hace que sea sencillo pedir ayuda. Podemos aprovechar una inmensa comunidad de seguridad y asegurarnos de que hay muchos más ojos observando nuestro código que si solamente confiáramos en los empleados de Dashlane o incluso en las agencias de auditoría de seguridad de terceros.
Comenzamos con un programa privado. En HackerOne se puede empezar por restringir quién puede contribuir y luego aumentar progresivamente el número de expertos que pueden enviar cuestiones. Esto era importante, ya que aprendimos cómo gestionar el flujo de trabajo asociado con los comentarios de HackerOne.
Es importante construir una estructura interna adecuada para evaluar, clasificar, corregir y recompensar a los piratas informáticos de sombrero blanco en un tiempo razonable. Los participantes en el programa esperan que respondamos, de lo contrario, se centrarán en otros programas más atractivos. Por supuesto, los niveles de recompensas son también importantes. nuestras recompensas van desde los 200 dólares por un error de baja gravedad a los 5000 dólares por errores críticos. Vea más abajo nuestras estadísticas recientes sobre la eficiencia de la respuesta y el programa de HackerOne.
Seguimos refinando el alcance preciso de nuestro programa, incluyendo lo que consideramos que son remisiones elegibles y exclusiones del programa. Esto nos permitió evitar recibir demasiadas remisiones inútiles o falsos positivos.
Una vez seguros de que podíamos gestionar más remisiones, comenzamos a aumentar el número de invitaciones privadas a nuestro programa hasta que pudimos hacerlo totalmente público en 2017.
También hemos agregado recursos de seguridad a nuestro sitio web para que sea más fácil para todos plantear cuestiones de seguridad. Consulte dashlane.com/security/researchers para obtener más información sobre nuestro programa y cómo participar. Nos encanta que los piratas informáticos de sombrero blanco y los investigadores de seguridad nos envíen código de concepto o capturas de pantalla. Eso nos ayuda, de verdad, a evaluar y reproducir los problemas con más facilidad. Como práctica recomendada, también proporcionamos una clave PGP para que nos envíen información más confidencial si fuera necesario.
Consejos para comenzar
La seguridad es importante para todos. Si trabaja en desarrollo de software debe iniciar su propio protocolo de seguridad desde muy temprano, incluso si es una joven empresa emergente. Es fácil de hacer y no es caro.
- Comience tan pronto como pueda con un programa privado con entre 50 y 100 piratas informáticos de sombrero blanco invitados. Tendrá que ofrecer recompensas en línea con el mercado, para que sean atractivas.
- Durante esos primeros días, desarrolle el proceso interno para manejar las vulnerabilidades remitidas. Ajuste la descripción y la configuración de su programa.
- Además de mejorar el nivel de seguridad de su producto, utilice su programa de recompensas por errores como herramienta de publicidad. Esto agrega valor a su discurso, especialmente para las empresas que venden a otras empresas.
- Aumente progresivamente hasta que esté listo para hacerlo público.
- En algún momento, puede observar que el flujo de informes se está ralentizando. Esto significa que debe aumentar las recompensas y comunicar a los piratas informáticos las nuevas funciones: los investigadores no pasarán tiempo en programas antiguos con pocas recompensas fáciles de obtener sin buenos incentivos.
Comience en el programa de recompensas por errores de Dashlane para poner a prueba sus habilidades y potencialmente ganar dinero extra. ¡Feliz caza de errores!
Regístrese para recibir noticias y actualizaciones acerca de Dashlane