Cómo el programa HackerOne Bug Bounty de Grammarly reduce las vulnerabilidades y los riesgos de seguridad

Publicado: 2020-09-15

En Grammarly, consideramos la seguridad como nuestra primera y más fundamental característica del producto. Está en el centro de cómo operamos como empresa y cómo desarrollamos nuestro producto. Parte de esto es mantener salvaguardas internas, desde controles de operaciones y un programa de Campeones de Seguridad hasta el monitoreo constante de aplicaciones por parte de nuestro equipo de Seguridad especializado. Y con el objetivo de validar la confianza de los más de 20 millones de personas y 10 000 equipos a los que servimos todos los días, también creemos que es vital ir más allá e invertir en evaluaciones de riesgos de alto nivel de fuentes de terceros.

Es por eso que ejecutamos un programa de recompensas por errores con HackerOne, una plataforma de seguridad líder que reúne a piratas informáticos éticos para evaluar problemas de ciberseguridad de todo tipo. Desde el lanzamiento de nuestro programa público en 2018, hemos tenido un gran éxito en nuestra capacidad para reducir el riesgo de incidentes de seguridad. Con acceso a un grupo global de investigadores de seguridad talentosos, podemos diagnosticar vulnerabilidades antes de que actores maliciosos puedan identificarlas para explotarlas.

Respaldar la seguridad de Grammarly a través de un programa de recompensas por errores

Un programa de recompensas por errores invita a los piratas informáticos éticos a detectar vulnerabilidades de software e informarlas directamente a la empresa para su reparación. Los investigadores de seguridad estudian el producto, recopilan informes sobre los errores detectados y reciben recompensas monetarias según la gravedad del problema. Siguen pautas estrictas para la investigación de seguridad ética que ayudan a los proveedores de software a remediar posibles amenazas rápidamente.

Grammarly se esfuerza por explorar todas las vías posibles para garantizar la seguridad del producto al más alto nivel. Seleccionamos HackerO ne como nuestra plataforma para asociarnos en un programa de recompensas por errores porque es una de las plataformas más grandes centrada en la piratería ética y alberga una comunidad talentosa y respetada con una formidable experiencia en ciberseguridad. Con más de 300.000 hackers registrados, la plataforma permite ampliar un programa global de vigilancia de vulnerabilidades las 24 horas del día. Algunas de las empresas de tecnología más grandes y destacadas del mundo también se han asociado con HackerOne.

Mantener tu escritura segura en Grammarly.
Mantenemos la seguridad en el centro de nuestras políticas de productos, infraestructura y empresa.

Cómo configurar un programa exitoso

Para lanzar nuestro programa público de recompensas por errores HackerOne, el equipo de seguridad de Grammarly se coordinó con equipos de toda la organización de ingeniería para crear un conjunto claro y detallado de reglas que describan cómo la empresa puede trabajar productivamente con los piratas informáticos. Esto incluye especificaciones sobre en qué vulnerabilidades son más cruciales para que se concentre la comunidad HackerOne, junto con requisitos para enviar informes y recompensas. Puede ver las reglas y pautas que aclaran el alcance y el enfoque en nuestra página del programa HackerOne .

Para tener un programa sólido de recompensas por errores, nos involucramos activamente con la comunidad. Aquí hay algunos principios que el equipo de Grammarly tiene en cuenta:

  1. Mantenemos una comunicación constante:es esencial responder a los piratas informáticos y preguntarles sobre su trabajo. Aunque el equipo de HackerOne realiza pruebas previas de los informes, también analizamos las opciones rechazadas para asegurarnos de que estamos revisando todos los comentarios que puedan ser útiles para fortalecer nuestra postura de seguridad.
  2. Reaccionamos rápidamente:la velocidad es esencial. En Grammarly, nos enorgullecemos de mantener una puntuación extremadamente alta en eficiencia de respuesta, cercana al 100 %. Es vital que respetemos el trabajo de los investigadores, muchos de los cuales hacen el trabajo por interés en nuestro producto e interés en promover software seguro.
  3. Brindamos motivación más allá de la remuneración estándar:Grammarly se asegura de brindar bonificaciones monetarias a los investigadores que envían informes de calidad, incluso si aún no han encontrado vulnerabilidades críticas, para que estos investigadores sigan comprometidos. También ofrecemos bonificaciones a los investigadores de seguridad que no solo buscan errores individuales sino que crean escenarios de ataque complejos que constan de varias vulnerabilidades. Queremos fomentar el análisis complejo.

Garantizar una rápida remediación

Nuestro programa de recompensas por errores HackerOne nos ayuda a ofrecer un producto que sea seguro para todos nuestros usuarios y clientes. Para lograr este objetivo, es fundamental asegurarse de que nuestro equipo responda con prontitud a los informes de los investigadores de seguridad y luego trabaje con los equipos de toda nuestra organización de ingeniería para solucionarlo lo más rápido posible.

Para garantizar que lo hagamos, Grammarly mantiene un proceso oficial y estructurado para abordar rápidamente cualquier vulnerabilidad. Nuestro equipo de seguridad gestiona todos los informes entrantes, dirige el informe al equipo necesario y colabora con los ingenieros para proporcionar los aportes y la gestión de proyectos necesarios para resolver los problemas.

Una vez que solucionemos cualquier vulnerabilidad potencial, los ingenieros de Grammarly deben poder entregar la solución a todos los usuarios y clientes de inmediato. Es por eso que mantenemos mecanismos de actualización constantes que tienen en cuenta todos los requisitos de funcionalidad, para que todos los clientes puedan confiar en que siempre tendrán la versión más actualizada y segura de nuestra oferta de productos.

Aprovechando el éxito de las recompensas por errores

Desde el lanzamiento en 2018 de nuestro programa público de recompensas por errores en HackerOne, Grammarly ha visto un compromiso extraordinario por parte de la comunidad de investigadores de seguridad. Hasta la fecha, hemos resuelto casi 150 informes y pagado más de 100.000 dólares a 127 investigadores. Las estadísticas se recopilan continuamente en nuestra página del programa HackerOne .

Y siempre continuamos desarrollando el programa para centrarnos en nuevas funciones y desarrollos de productos. Agregamos bonificaciones y otros incentivos para asegurarnos de que los investigadores de seguridad presten atención a lo que es más importante para los clientes de Grammarly. A medida que continuamos desarrollando nuestro asistente de escritura para respaldar una comunicación efectiva en todos los lugares donde trabajan las personas, nos involucramos constantemente con la comunidad HackerOne para lograr que los mejores investigadores de seguridad brinden un escrutinio esencial a nivel de expertos.

Grammarly cree firmemente en este programa. Facilita nuestro acceso a los mejores recursos para mitigar las vulnerabilidades y defenderse de posibles atacantes. Millones de personas usan Grammarly todos los días, y cada usuario debe poder confiar en que el software es lo más seguro posible. El programa de recompensas por errores HackerOne de Grammarly nos apoya en este esfuerzo.

Obtenga más información sobre las operaciones, políticas, prácticas y certificaciones de seguridad de Grammarly aquí .