El 06 de Octubre del 2019 encontré una falla de seguridad en Cloudflare. Pensé mucho en qué hacer, pero preferí indicarles la falla, con un PoC para que vieran que la vulnerabilidad existía y bueno, para ver si me daban un premio.
Resulta que cuando envié los detalles por medio de HackerOne, me respondió el equipo encargado y me escribieron lo siguiente:
Entiendo que alguien haya enviado antes un reporte parecido o igual al mio, indicando la falla y todo eso, pero, ¿aún no solucionan el problema? Cloudflare es una empresa grande y no son capaces de reparar esos problemas. Además, ¿es realmente confiable el programa bug bounty de Cloudflare? o ¿solamente quieren que les reporten las fallas de seguridad?
Busqué en Internet y llegué a varios artículos de usuarios que reportaban que el programa bug bounty de Cloudflare era terrible ya que a un usuario le dieron una polera por dar aviso de una falla de seguridad.
Editado el 08/Octubre: Hoy revisé y la vulnerabilidad aún está ahí. Qué triste.
Más links sobre el programa:
https://bugs.chromium.org/p/project-zero/issues/detail?id=1139
https://news.ycombinator.com/item?id=13718822