Fuente: www.hackerone.com – Autor: johnk. En junio, sesenta y un piratas informáticos de trece países se reunieron (virtualmente) para piratear la plataforma de pagos digitales PayPal como parte del último evento de piratería virtual de HackerOne, h1-2006. Los piratas informáticos revelaron más de 100 vulnerabilidades únicas en el transcurso de dos semanas y ganaron más de 770.000 dólares en recompensas, lo que convirtió al primer semestre de 2006 en el segundo evento de piratería en vivo mejor pagado de todos los tiempos (en vivo o virtual). Si bien esta fue la primera incursión de PayPal en un evento de piratería en vivo, el equipo no es ajeno a las recompensas por errores. PayPal ha estado trabajando con piratas informáticos desde 2012, evolucionando constantemente su programa para desafiar a la comunidad de piratas informáticos con nuevas oportunidades de ganar dinero. Junto con un alcance complejo en la primera mitad de 2006, PayPal introdujo una estructura de recompensas con una recompensa promedio de 7.000 dólares y una recompensa máxima de 30.000 dólares para reflejar el tiempo y el esfuerzo que los piratas informáticos pondrían para abrir agujeros en su ya endurecida superficie de ataque. “Hace tiempo que esperaba un objetivo como este. Uno con un gran enfoque en una aplicación web en particular y con tecnologías recientes y modernas”, compartió el hacker @fisher, líder del equipo de piratería en vivo DISTURBANCE y que piratea PayPal por primera vez. “También es un objetivo que yo (y muchos de mis compañeros de equipo) nunca habíamos pirateado, por lo que ser un nuevo objetivo con un nuevo equipo de seguridad con el que trabajar, fue todo muy emocionante”. Uno de los lujos de un evento virtual de hacking en vivo es el tiempo. Sin el estrés y el cansancio de tener que viajar a un lugar físico, los piratas informáticos tienen más tiempo para piratear desde la comodidad de sus propios hogares. De hecho, los piratas informáticos participantes dedicaron más de 3000 horas a probar vulnerabilidades. ¡Gracias hackers por su arduo trabajo y colaboración! Los eventos de piratería en vivo son una excelente manera para que las empresas establezcan relaciones con la comunidad de piratas informáticos. En el pasado, estos eventos han sido una oportunidad para que el equipo de seguridad se reuniera con los piratas informáticos en persona y trabajaran codo a codo. Para un objetivo complejo como PayPal, esta oportunidad es beneficiosa para ambas partes. Los piratas informáticos tienen la capacidad de analizar los informes enviados y obtener claridad sobre su alcance. A su vez, el equipo de seguridad de PayPal trabaja aún más estrechamente con los piratas informáticos que han estado pirateando PayPal durante años, al mismo tiempo que establece relaciones con piratas informáticos que pueden estar pirateando PayPal por primera vez. La oportunidad permitió al equipo de seguridad de PayPal fortalecer las relaciones que ya tienen con la comunidad de hackers y, al mismo tiempo, cultivar otras nuevas. “PayPal ha pasado años trabajando con piratas informáticos para descubrir vulnerabilidades que, en última instancia, hacen que nuestros productos sean más seguros para nuestros clientes y socios”, afirmó Ray Duran, ingeniero de seguridad de la información de PayPal. “Con el tiempo, los piratas informáticos de nuestro programa de recompensas por errores se han convertido en una extensión de nuestro equipo y estamos más que agradecidos por sus contribuciones. El evento virtual de piratería en vivo con HackerOne nos brindó la oportunidad de profundizar las relaciones existentes y cultivar otras nuevas que no solo mejoran nuestra seguridad, sino que también hacen de Internet en su conjunto un lugar más seguro”. El hacker Alex Birsan (@alexbirsan) compartió: “Para mí, la posibilidad de chatear con el equipo de PayPal, así como con tantos hackers increíblemente talentosos que se concentraban en el mismo objetivo al mismo tiempo, fue especialmente útil para mantenerme motivado. , permitiéndome profundizar más, colaborar y encontrar algunos errores increíbles”. Celebrando a los ganadores Y ahora el momento que estábamos esperando… los premios. ¡Felicitaciones a @alexbirsan, @nnwakelam y al equipo de hacking DISTURBANCE por sus premios! El hacker @alexbirsan, que otorgó el premio al hacker más valioso en h1-2006, compartió: “Ver la ceremonia de premiación, cerveza en mano, con mi compañero a mi lado animando cada vez que se decía mi nombre, fue un momento absolutamente especial, y yo Estoy seguro de que la única manera de hacerlo aún mejor hubiera sido que todos estuvieran en la misma habitación”. Al final de cada evento, organizamos una parte de Mostrar y contar donde algunos piratas informáticos seleccionados presentan una inmersión profunda en un error interesante que informaron al cliente y a otros piratas informáticos. Es una oportunidad para que la comunidad aprenda unos de otros y celebre los logros de sus pares. Cuando le preguntamos al hacker @fisher si tenía algún consejo para los hackers que realizan recompensas por errores, compartió: “’Tú lo haces’ es uno de los mejores consejos que puedo darle a cualquiera que haga recompensas por errores. El síndrome del impostor es real, al igual que el sesgo de supervivencia. La única persona con la que debes compararte eres tú. En lugar de estar triste o molesto porque alguien más recibió una gran recompensa, debería preguntarse: “¿Soy mejor que hace 6 meses?”, “¿He aprendido algo nuevo?”. o ‘¿He codificado algo nuevo?’. Hay varias métricas de éxito, pero obtener grandes recompensas no es la única”. ¡Felicitaciones a todos los hackers que participaron! Gracias por su tiempo y esfuerzos. Siempre es fantástico ver cómo la emoción, la camaradería y el intercambio de conocimientos prosperan en un entorno virtual. El equipo de la comunidad de HackerOne se compromete a brindar la mejor experiencia a la comunidad y a los clientes, lo que nos permite hacer de Internet un lugar más seguro. Con cada evento y CTF, brindamos a los piratas informáticos la oportunidad de practicar sus habilidades y proteger una parte de Internet. Nos sentimos privilegiados y honrados de ser parte de ese viaje. Esperamos verlos a todos en persona pronto. Hasta entonces, feliz piratería. #hackforgood URL de la publicación original: https://www.hackerone.com/vulnerability-management/paypal-our-virtual-pal