Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon HackerOne niega el acceso de FlexiSpy a su programa de recompensas




Después del reciente hackeo (últimas informaciones apuntan a un ex-empleado de la propia compañía) y filtración de la empresa de spyware llamada FlexySpy, ellos mismos anunciaron vía Twitter su intención de unirse al Bug Bounty de HackerOne. Pero finalmente hackerone ha denegado la petición argumentando su opinión en aspectos principalmente éticos. La plataforma dice que simplemente no está bien alojar un sistema que espían a niños y esposos.






Después de considerar los argumentos positivos y los negativos han decidido no incluír a la compañía en su programa de recompensas.

FlexySpy justo después de ser hackeadas anunció su intención de utilizar un programa de recompensas por encontrar vulnerabilidades, una medida muy críticada al considerarla totalmente oportunista.

Recordemos que en España, usar esta cualquier App de FlexySpy para espiar sería ilegal. FlexySpy te permite espiar en teléfonos móviles y tablets y posee una capacidad de intercepción de llamadas Proporciona rastreo de SMS, rastreo de teléfonos celulares, control total del Smartphone para monitorear y espiar

Las empresas del sector, una docena en todo el mundo, no dudan en anunciarse en Google como programas para "pegar una esposa infiel" o "saber si tu marido te engaña". FlexiSpy, la empresa atacada, tiene un blog donde explica casos de celebridades que engañan el marido o la mujer y, al final de cada historia, con frases del estilo: "Si hubiera utilizado FlexiSpy se habría dado cuenta antes".


El desarrollador de spyware FlexiSpy planeó atraer a los investigadores de seguridad para revelar vulnerabilidades de forma responsable de su software a través de HackerOne. Pero HackerOne tenía otras ideas. El mes pasado, la firma de vigilancia reveló sus planes en Twitter para transferir su programa de recompensas de bugs a HackerOne. El programa de recompensas de bugs, creado en el "interés de la transparencia", habría ofrecido a los investigadores entre $ 100 y $ 5000 para divulgar de forma privada los errores a la empresa.

FlexiSpy dijo que el movimiento estaba en la etapa de aprobación, pero probablemente no imaginaba que habría ningún bloqueo de carretera.

Vulnerabilidades de cualquier tipo son malas noticias cuando son explotadas, pero con esta solicitud de recompensa de bichos en particular, hubo consideraciones éticas a tener en cuenta.

FlexiSpy ofrece spyware de consumo para la venta, que se sabe que se han instalado para rastrear a los niños, así como los cónyuges y socios.

Una vez pagado e instalado, el software espía permite a los usuarios escuchar de forma remota las llamadas en vivo, fisgonear mensajes de texto y VoIP, enviar mensajes SMS falsos, interceptar y ver contenido multimedia, leer correos electrónicos y comprometer otras aplicaciones como WhatsApp, Facebook, Skype, Y Instagram, entre otros.

En respuesta a la solicitud y el debate en línea que posteriormente siguieron, el  CEO de HackerOne, Marten Mickos y CTO Alex Rice aclaró la posición de la plataforma bounty bug. El jueves, la pareja dijo en una entrada en el blog que FlexiSpy no es un cliente, pero ha impulsado un reexamen de lo que puede ocurrir cuando los principios de la empresa chocan.

El mes pasado, un grupo de hackers que se llamaban a sí mismos Decepticons supuestamente comprometieron FlexiSpy y filtraron el código fuente del software de la empresa en línea. Esto probablemente provocó la aplicación de bounty de bugs, pero la dudosa posición legal de la firma y el propósito del spyware de consumo de FlexiSpy en sí mismo han hecho que los proveedores de bounty de bugs estén nerviosos.

Bugcrowd ya ha dicho públicamente que FlexiSpy no sería bienvenida, y ahora, HackerOne ha explicado por qué la firma, también, no aceptará la aplicación de FlexiSpy.

Aunque HackerOne cree que la aceptación no debe basarse en "juicios morales arbitrarios" y que la legalidad del software debe dejarse a los tribunales para decidir, existen "pruebas amplias" y una creencia general de que FlexiSpy está operando ilegalmente, de la cual cualquier compañía conectada eventualmente También se puede arrastrar hacia abajo.

Además, aunque las vulnerabilidades son "universalmente malas" y todo el propósito de los programas de bounty bug es mejorar la seguridad general y mantener el mercado abierto fluyendo, donde trazar la línea cuando se trata de software gris es una decisión difícil.

"Siempre y cuando se permita a FlexiSPY comercializar software diseñado para espiar a niños y víctimas de abuso doméstico, las vulnerabilidades pondrán a esos individuos en riesgo", dice HackerOne. "Es imposible predecir con seguridad los daños colaterales de una vulnerabilidad explotada.En el balance, si alguien está infectado con spyware es probable que estén mejor infectados con spyware seguro [...] Pero fijarlos beneficia a la compañía de spyware más de lo que protege las victimas."

La plataforma de bounty de bugs también argumenta que "el mercado de la seguridad de sus productos como" Secured by HackerOne "apoya directamente sus esfuerzos de ventas y conduce a una mayor distribución y victimización".

En caso de que FlexiSpy sea aceptada por HackerOne, la compañía también tendría que publicar una política de divulgación de vulnerabilidades y comprometerse a proteger a los hackers contra acciones legales, ninguna de las cuales es actualmente el caso.

"HackerOne siempre hará que los programas de divulgación de vulnerabilidades estén disponibles para todas las organizaciones que operan legalmente y se comprometen a trabajar con hackers de buena fe", dice la compañía. "Estas organizaciones son bienvenidas para albergar su seguridad @ en la plataforma HackerOne. No tomaremos medidas contra ellas basadas exclusivamente en juicios morales".

"Sin embargo, la participación proactiva con la comunidad de HackerOne a través de un programa de recompensas de insectos es un privilegio que sólo se otorga a las organizaciones que se comportan de una manera ética", agregó HackerOne.

FlexiSpy no se le permitirá alojar un programa de recompensas de errores en HackerOne y no ha respondido.

Fuente:
http://www.zdnet.com/article/hackerone-rejects-stalking-software-flexispy-bug-bounty-program/

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.