En 2023, Kaspersky descubrió un incidente de seguridad que permitía instalar de forma discreta un software espía en los iPhone. El ataque comenzaba con un mensaje de iMessage invisible que poseía un adjunto malicioso. Después, aprovechaba una serie de vulnerabilidades de iOS para instalar el malware en el iPhone. Kaspersky lo bautizó como Operación Triangulación. Según las políticas del programa de recompensas de Apple, estas “no se te podrán pagar si te encuentras en algún país embargado por Estados Unidos“. Rusia es uno de los países embargados y Kaspersky es una compañía rusa con sede en Moscú.

 

 

El equipo español, del que ejercían como seleccionadores los ‘embajadores’ de HackerOne Carlos Rivero y Diego Jurado, estaba formado por un amplio plantel de expertos en ciberseguridad, conocidos en el sector por sus alias: hipotermia, djurado, alexandrio, blackGamba, bsysop, corraldev, crypt-0crc, curiositysec, godiego, iambouali, ickogz, jfran_cbit, milo23, mr-medi, n0xi0us, santero, six2dez_, zere, rhack o roskyfrosky.

 

Microsoft ha incluido a Bing en su conocido programa Bug Bounty (recompensas por bugs), asegurando que pagará entre 2000 y 15.000 dólares a todo el que sea capaz de encontrar una vulnerabilidad en sus productos de inteligencia artificial de Bing.

 

Google ha anunciado la aparición de un nuevo fondo de defensa legal para investigadores en seguridad. El propósito de este fondo, que nace como una organización sin ánimo de lucro, será velar por los investigadores que actúan de buena fe ante las amenazas legales que puedan surgir fruto de su actividad divulgando vulnerabilidades.

Google anuncia el lanzamiento de un programa de bug bounty que pagará a investigadores por el reporte de vulnerabilidades en los programas que formen parte de sus proyectos de código abierto.

El grupo delictivo del ransomware Lockbit anunció el lanzamiento de Lockbit 3.0, una nueva oferta de ransomware como servicio y un programa de bug bounty. LockBit 3.0 además publicó nuevas tácticas de extorsión y opciones de pago de criptomonedas Zcash.

 Una forma de recompensar el tiempo y el esfuerzo de los hackers que invierten su tiempo y su conocimiento en eliminar vulnerabilidades en herramientas, productos, servicios y plataformas de empresas. Y ahora Google ha publicado los datos de lo que se ha gastado en pagar a los Bug Hunters este año pasado 20221, que ha sido un total de 8.7 Millones de USD, lo que supone un poco más de 2 Millones de USD de lo que pagó el año 2020. Por fallos que han sido principalmente en Android, Chrome y Play. 

Un investigador de seguridad conocido bajo el alias de Drbrix encontró un fallo de seguridad en Steam que permitía añadir fondos ilimitados a la cartera de la tienda digital. El fallo fue reportado a Valve mediante la plataforma Hackerone el 9 de agosto y un día después la compañía lo consiguió replicar y solucionar. El investigador consideró que se trataba de un fallo de gravedad moderada, pero Valve lo elevó a crítico y lo recompensó con 7.500 dólares.

 El SDK de Facebook JS es ampliamente utilizado por los desarrolladores por varias razones, como iniciar sesión en el sitio web usando Facebook o para insertar complementos Compartir o Me gusta, lo que dejó a miles de sitios web vulnerables a varios ataques, como la apropiación de cuentas. Los sitios webs que lo incluían (muchos) eran potencialmente vulnerables. Un fallo en la expresión regular, permitía utilizar cualquier subdominio acabado en facebook.com como "testfacebook.com". El investigador de seguridad Youssef Sammouda ha reportado el fallo y ha sido recompensado con 10.000$. 

El investigador de seguridad Parsia Hakimian descubrió múltiples fallas de seguridad en la aplicación de Windows de juegos en la nube PlayStation Now (PS Now) que permitía ejecutar código remoto (RCE) arbitrario en dispositivos Windows que ejecutaban versiones de aplicaciones vulnerables. Hakimian informó los errores a Sony, a través del programa oficial de recompensas de errores de PlayStation operado a través de la plataforma de recompensas de errores HackerOne. PlayStation y  recompensó el hallazgo con un premio de 15.0000$.

Es la recompensa más alta otorgada por cualquier vulnerabilidad encontrada en Facebook La vulnerabilidad está relacionada con la función “Iniciar sesión con Facebook” está basada en el protocolo de autorización Open Authorization 2.0 (OAuth 2.0) para realizar un intercambio de tokens entre el sitio oficial de la red social y sitios de terceros. De ser explotada, el fallo permitiría a un actor de amenazas tomar control del flujo de OAuth y extraer el token de acceso, comprometiendo las cuentas de los usuarios. Desde la compañía dirigida por Mark Zuckerberg reconocieron el problema y ya han publicado una actualización de seguridad. A su vez, Amol Baikar fue recompensado con una suma de 55.000 dólares por reportar la vulnerabildad.

Google ha anunciado un nuevo programa de recompensas por abuso de datos así como la ampliación del programa de recompensas Google Play para incluir aplicaciones de Android con más de 100 millones de instalaciones.

La Unión Europea  ha tomado conciencia de la importancia de proteger sus sistemas frente a posibles ataques y fallos catastróficos, motivo por el cual ha instituido un programa con el que busca recompensar el descubrimiento de fallos en el software de código abierto utilizado en las instituciones europeas.

Un fallo de seguridad en la plataforma de Twitter OAuth estaba permitiendo a aplicaciones de terceros acceder a todos nuestros mensajes directos, incluso cuando la aplicación especificaba en sus permisos que no tenía acceso. La vulnerabilidad fue detectada y reportada por el investigador de seguridad, Terence Eden, quien ha recibido una recompensa Bug Bounty de Twitter de cerca de 3.000 dólares

El investigador de seguridad Artem Moskowsky encontró el pasado verano un fallo en Steam que permitía generar miles de claves gratuitas para cualquier título disponible en la plataforma de distribución digital. En ese momento Moskowsky se enfrentó a la difícil decisión de una vida de juegos gratis o recibir una recompensa económica por parte de Valve. Por fortuna de la compañía el investigador escogió la segunda opción y se terminó embolsando 20.000 dólares, 5.000 de los cuales son un bonus por guardar silencio.

La compañía ha decidido renovar su programa de caza de bugs con nuevas y más jugosas recompensas. Intel, que ya ha llevado a cabo iniciativas similares anteriormente, abrirá su nuevo proceso de búsqueda de vulnerabilidades a cualquier investigador con una cuenta de HackerOne. La lista de productos que serán expuestos a esta auditoría de seguridad mediante crowdsourcing es amplia y va mucho más allá de los procesadores, abarcando también chipsets, placas base, unidades SSD, tarjetas de red, FPGA y todo el software asociado, desde drivers y herramientas a firmwares.

VLC es desde hace tiempo uno de los reproductores multimedia más populares del mundo, con más de 2.100 millones de descargas desde su lanzamiento hace algo más de 16 años. Inicialmente un proyecto estudiantil engendrado en la École centrale Paris, esta extendida herramienta es ahora una iniciativa internacional disponible para prácticamente todas las plataformas generalistas, incluyendo Windows, Linux, macOS, Chrome OS, iOS y Android.

Google quiere que su tienda de aplicaciones Play sea un lugar seguro para sus usuarios, y para ello va a pagar a aquellos que encuentren vulnerabilidades en determinadas aplicaciones. El gigante de Google ha lanzado un nuevo programa de recompensas que será completamente diferente al que actualmente ofrecen para sitios web y el sistema operativo. Google pagará a aquellos que encuentren fallos de seguridad en las aplicaciones para Android de terceros más populares de la Play Store.

Yahoo otorgó 7,000$  al investigador de seguridad Michael Reizelman, también conocido como mishre, por la vulnerabilidad de secuestro (hijacking) de cuenta de Flickr (propiedad de Yahoo). Reizelman es un popular buscador de fallos que descubrió vulnerabilidades en muchos servicios web, incluyendo Badoo, Dropbox, GitHub, Google, Imgur, Slack, Twitter y Uber.

Después del reciente hackeo (últimas informaciones apuntan a un ex-empleado de la propia compañía) y filtración de la empresa de spyware llamada FlexySpy, ellos mismos anunciaron vía Twitter su intención de unirse al Bug Bounty de HackerOne. Pero finalmente hackerone ha denegado la petición argumentando su opinión en aspectos principalmente éticos. La plataforma dice que simplemente no está bien alojar un sistema que espían a niños y esposos.