Open Bug Bounty | Free Bug Bounty Program

Iniciado en junio de 2014 por un grupo de investigadores de seguridad independientes, Open Bug Bounty es una plataforma sin fines de lucro diseñada para conectar a los investigadores de seguridad y propietarios de sitios web de una manera transparente, respetuosa y valiosa para ambas partes.

Nuestro propósito es hacer de la Web un lugar más seguro para el beneficio de todos.


Divulgación Coordinada y Responsable, ISO 29147

La plataforma de divulgación coordinada de vulnerabilidades Open Bug Bounty permite a los investigadores de seguridad informar de una vulnerabilidad en cualquier sitio web, siempre y cuando se omitan técnicas de test intrusivos y se envíe siguiendo pautas de divulgación responsable.

Open Bug Bounty se limita a verificar las vulnerabilidades enviadas y notificar a los propietarios de sitios web por todos los medios disponibles. Una vez notificado, el propietario del sitio web y el investigador están en contacto directo para corregir la vulnerabilidad y coordinar su divulgación. Nunca actuamos como intermediarios entre los propietarios de sitios web y los investigadores de seguridad.

No tenemos ningún interés financiero o comercial en el proyecto. Además, pagamos los gastos de alojamiento y desarrollo web de nuestro bolsillo, y pasamos muchas noches verificando nuevos envíos.

La plataforma Open Bug Bounty sigue las directrices de las normas ISO 29147 ("Information technology -- Security techniques -- Vulnerability disclosure") de divulgación ética y coordinada.

El nivel de riesgo de las vulnerabilidades enviadas puntúa usando el Common Vulnerability Scoring System (CVSS).


Pruebas seguras y no intrusivas

Solo aceptamos Cross-Site Scripting, CSRF y otras vulnerabilidades que figuran entre las vulnerabilidades de aplicaciones web más comunes hoy en día.

El proceso adecuado de testing de estas vulnerabilidades es inofensivo y no puede dañar un sitio web, base de datos, servidor o infraestructura relacionada. No aceptamos vulnerabilidades que puedan o estén destinadas a dañar un sitio web, sus datos o infraestructura.

Open Bug Bounty prohíbe la notificación de vulnerabilidades detectadas por los escáneres de vulnerabilidades y otras herramientas automatizadas que puedan afectar al rendimiento del sitio web o causar cualquier otro impacto negativo.


Proceso de presentación y verificación

Una vez que se informa y confirma una vulnerabilidad, enviamos inmediatamente una alerta de seguridad al propietario del sitio web siguiendo las directrices ISO 29147, así como a los contactos de seguridad específicos proporcionados por el investigador.

Con el fin de dar a los propietarios de sitios web el tiempo suficiente para corregir la vulnerabilidad, los detalles técnicos pueden ser divulgados sólo 90 días a partir de la presentación original, o 30 días si la vulnerabilidad es parcheada.

Para evitar el spam y otros posibles inconvenientes, limitamos los informes a una vulnerabilidad por dominio cada 24 horas.

Los informes se enviarán a través de la página "Report a Vulnerability": https://www.openbugbounty.org/report/


Recompensas y Premios

El propietario de un sitio web puede expresar su gratitud al investigador por informar de la vulnerabilidad de la manera que considere más apropiada proporcional a los esfuerzos y la ayuda del investigador. Sin embargo, no existe ninguna obligación de hacerlo.

En la plataforma, los investigadores obtienen varias insignias honoríficas por la calidad de sus presentaciones y el número de sitios web que ayudaron a hacer más seguros. Siempre fomentamos la calidad, no la cantidad de envíos.

Top Security Researchers: https://www.openbugbounty.org/researchers/top/

Open Bug Bounty Community Voice: https://www.openbugbounty.org/community-voice/


Integración disponible

A los propietarios de sitios web les ofrecemos la posibilidad de exportación de datos de vulnerabilidad siguiendo los sistemas SDLC, DevOps y bug tracking:



Fuente: https://www.openbugbounty.org/open-bug-bounty/