Dropbox anuncia su propio programa de recompensas monetarias por encontrar bugs de Seguridad (Bug Bounty Program) al igual que ya hacen otras empresas como Facebook, Google o Paypal. Utilizando la plataforma de "Hackerone"  hasta el momento han sido solucionados 27 fallos con una recompensa máxima otorgada de 4.913$.

Los Bug Bountys o  Vulnerability rewards programs

Recompensas de errores (o recompensas de vulnerabilidad programas) son utilizados por muchas empresas líderes para mejorar la seguridad de sus productos. Estos programas proporcionan un incentivo para que los investigadores dan a conocer de manera responsable los errores de software, flujos de información centralizados, y en última instancia, permiten a los equipos de seguridad para estimular a la comunidad externa para ayudar a mantener a los usuarios seguros.

Algunos ejemplos Bug Bounty Programs

• Facebook
• Google 
• Paypal
• Dropbox
• Microsoft
• Drupal
• Mozilla
• Tesla Motors

El anuncio de Dropbox

La protección de la privacidad y seguridad de la información de nuestros usuarios es una prioridad para nosotros en Dropbox. Además de contratar a expertos de clase mundial, creemos que es importante obtener toda la ayuda que podamos de la comunidad de investigadores de seguridad, también. Es por eso que estamos muy contentos de anunciar que los investigadores de seguridad a partir de hoy, vamos a reconocer por su esfuerzo a través de un programa de recompensas de errores con HackerOne.


Mientras trabajamos con empresas profesionales para pentesting compromisos y hacemos nuestra propia pruebas internas, el escrutinio independiente de nuestras aplicaciones ha sido un recurso muy valioso para nuestro equipo - que permite a nuestro equipo para aprovechar la experiencia de la comunidad de seguridad más amplio. Hemos reconocido las contribuciones de los investigadores que hemos trabajado en una sala pública de la fama, y ahora estamos muy contentos de ser una de varias compañías que ofrecen recompensas monetarias, también. De hecho, vamos a ser investigadores retroactivamente gratificantes que han reportaron errores críticos en nuestras aplicaciones a través de nuestro programa existente, pagando 10.475 dólares en la actualidad.

Aquí están algunos detalles adicionales sobre el programa:

¿Cuál es la máxima y mínima recompensa? 

No tenemos una recompensa máxima oficial. La recompensa mínima de errores de clasificación es de $ 216 y la recompensa máxima que hemos pagado hasta ahora es 4.913 dólares.

 ¿Qué pasa si descubro una vulnerabilidad duplicada? 

Se premiará sólo al primero.

¿Qué aplicaciones se encuentran en el alcance de esta recompensa?

 Por ahora, el Dropbox, Carrusel, y Mailbox iOS y aplicaciones Android; las aplicaciones web de Dropbox y Carousel; el cliente de escritorio de Dropbox así como el Dropbox Core SDK son elegibles para el programa de recompensas. También podemos recompensar a los bichos nuevos o particularmente interesantes en otras aplicaciones de Dropbox.

 ¿Existen otras reglas?

 Puede encontrar más detalles sobre el programa de recompensas en nuestra página HackerOne.

Este es un paso más en nuestro compromiso con la seguridad y la privacidad, que ya se ha reflejado en el reconocimiento y la clasificación por organizaciones externas como FEP y SSLLabs, así como nuestra participación y el apoyo de organizaciones como SimplySecure. Esperamos con interés trabajar con los investigadores de seguridad y la concesión de ellos por sus contribuciones a la seguridad de todos los usuarios de Dropbox.

Ejemplo de objetivo de las vulnerabilidades 

• CSRF
• XSS
• Bypass de Malware
• Rerporte de spam

Fuente:
https://blogs.dropbox.com/tech/2015/04/introducing-our-bug-bounty-program/