El programa Bug Bounty de Cloudflare es un asco

El 06 de Octubre del 2019 encontré una falla de seguridad en Cloudflare. Pensé mucho en qué hacer, pero preferí indicarles la falla, con un PoC para que vieran que la vulnerabilidad existía y bueno, para ver si me daban un premio.

Resulta que cuando envié los detalles por medio de HackerOne, me respondió el equipo encargado y me escribieron lo siguiente:

Entiendo que alguien haya enviado antes un reporte parecido o igual al mio, indicando la falla y todo eso, pero, ¿aún no solucionan el problema? Cloudflare es una empresa grande y no son capaces de reparar esos problemas. Además, ¿es realmente confiable el programa bug bounty de Cloudflare? o ¿solamente quieren que les reporten las fallas de seguridad?

Busqué en Internet y llegué a varios artículos de usuarios que reportaban que el programa bug bounty de Cloudflare era terrible ya que a un usuario le dieron una polera por dar aviso de una falla de seguridad.

Editado el 08/Octubre: Hoy revisé y la vulnerabilidad aún está ahí. Qué triste.

Más links sobre el programa:
https://bugs.chromium.org/p/project-zero/issues/detail?id=1139
https://news.ycombinator.com/item?id=13718822

Agregar un comentario

Su dirección de correo no se hará público. Los campos requeridos están marcados *