Hace algunos días Mega lanzó un programa de recompensas por hasta USD$13.500 para quienes reportaran vulnerabilidades en el sistema. La compañía dio a conocer en su blog siete vulnerabilidades que fueron reparadas gracias a este plan, que correspondían a errores de “clase I” a “clase IV”.
Mega estableció una tabla con seis niveles, siendo el sexto para vulnerabilidades explotables y que correspondieran a fallas fundamentales de diseño, mientras el primero incluye errores de bajo impacto.
La compañía detalló los errores e indicó que fueron reparados, aunque no entregó detalles sobre quiénes fueron los que enviaron los reportes, y se ganaron el dinero. La mayoría de las iniciativas de este tipo (de Google, Facebook y otros) dan a conocer a los hackers que enviaron los informes, como una manera de incentivar a otros a participar y enviar lo que encuentren.
Como sea, el programa de recompensas de Mega sigue en pie y todavía se puede participar si encuentras algo. Según indicó la empresa en su blog, los errores reportados hasta ahora “podrían ser todas descubiertas revisando unas pocas líneas de código en un momento; ninguna requirió un análisis a un mayor nivel de abstracción”. Así que todavía puede haber más fallas dando vueltas.
Link: Vulnerability Rewards – The first week (MEGA)
