A Netflix pagou mais de 1 milhão de dólares por vulnerabilidades encontradas em seus produtos desde o lançamento de seu programa de recompensas por bugs em 2016.

A gigante do streaming, Netflix, disse na terça-feira (28/05) que mais de 5.600 pesquisadores contribuíram para seu programa e enviaram quase 8 mil relatórios de vulnerabilidade exclusivos. Foram pagas recompensas por 845 vulnerabilidades, mais de um quarto das quais foram classificadas como “gravidade crítica” ou “alta gravidade”.
Quando lançou seu programa público de recompensas por bugs em 2016, a Netflix usou o Bugcrowd para hospedar e gerenciar a iniciativa. A empresa anunciou agora que seu programa foi transferido para a plataforma HackerOne.
Com esta mudança, a Netflix promete uma triagem melhorada, maiores recompensas, um escopo expandido, programas privados exclusivos e ciclos de feedback dos pesquisadores.
Problemas de autorização de conteúdo, que incluem subverter a autorização de conteúdo e obter chaves privadas, podem render aos pesquisadores entre 300 e 5 mil dólares.
Vulnerabilidades críticas que afetam o site Netflix.com podem render aos caçadores de recompensas de bugs até 20 mil dólares, enquanto falhas relacionadas a ativos corporativos podem render aos pesquisadores até 10 mil dólares. Os aplicativos móveis também são cobertos pelo programa de recompensas por bugs.
O pesquisador, Adam Gowdiak da AG Security Research, demonstrou recentemente que vulnerabilidades na tecnologia de acesso e proteção de conteúdo PlayReady da Microsoft podem ser exploradas para baixar ilegalmente filmes de serviços populares de streaming, inclusive da Netflix.
Não está claro se o ataque ao PlayReady se qualificaria para o programa de recompensas de bugs da Netflix, mas a pesquisa de Gowdiak – dado seu impacto generalizado e o esforço investido nela – vale muito mais do que a Microsoft, e outras empresas afetadas estão dispostas a oferecer através de seus programas de recompensa por bugs.
Para saber mais, clique aqui.