Vulnerabilidades peligrosas de software permanecen por meses en las computadoras
Kaspersky Lab publicó el informe “Evaluating the threat level of software vulnerabilities (Evaluando el nivel de amenaza de las vulnerabilidades de software)”, después de un análisis cuidadoso sobre la prevalencia de fallas de seguridad encontradas en varios programas en 2012. Usando datos de la red de seguridad de Kaspersky Security Network, basada en la nube, los especialistas de Kaspersky Lab revelaron más de 132 millones de vulnerabilidades en más de 11 millones de computadoras. Esto significa un promedio de 12 vulnerabilidades por usuario. Además, surgieron más de 800 vulnerabilidades únicas solo durante 2012.
Sin embargo, entre toda esta diversidad, se encontraron solamente ocho vulnerabilidade
Además de resaltar las vulnerabilidades más peligrosas, la investigación de Kaspersky Lab también evalúa el grado de entusiasmo con que los usuarios actualizan sus software a nuevas versiones cuando estas están disponibles. Este análisis en particular reveló un hecho preocupante: algunas versiones antiguas, incluso obsoletas, de programas populares, siguen presentes en un número significativo de computadoras durante meses, hasta años, representando grandes riesgos para los datos personales de los usuarios y para la infraestructura de las compañías.
Particularmente, la investigación sobre la disposición de los usuarios de pasarse a versiones más nuevas y seguras de su software reveló que seis semanas después del lanzamiento de la última versión de Java (septiembre/octubre 2012), solo el 28,2%de los usuarios había logrado pasarse a la versión más segura, mientras que el 70% había dejado su sistema vulnerable a los exploits de Java. Se encontró una versión obsoleta de Adobe Flash Player, del 2010, que podría ser blanco fácil de exploits, en un promedio del 10,2% de las computadoras, y ese número casi no disminuyó durante 2012. Una vulnerabilidad descubierta en el Adobe Reader en diciembre de 2011 fue encontrada en el 13,5% de las computadoras, también sin señales de disminuir.
Las vulnerabilidades de software representan una amenaza clara y evidente tanto para clientes como para empresas.
“Lo que revela esta investigación es que lanzar un parche para una falla de seguridad poco después de descubrirla no es suficiente para proteger a usuarios y empresas. Mecanismos de actualización poco eficientes han expuesto a millones de usuarios de Java, Adobe Flash y Adobe Reader a riesgos. Ello, en conjunto con toda una serie de vulnerabilidades críticas encontradas en Java en 2012 y a comienzos de 2013, enfatiza la necesidad de los más recientes métodos de protección. Las compañías deberían tomar muy en serio este problema, dado que las fallas de seguridad en software populares se han convertido en el principal punto de entrada para ataques dirigidos exitosos”, dijo Vyacheslav Zakorzhevsky, Especialista de Investigación de Vulnerabilidades de Kaspersky Lab.
El informe completo “Evaluating the threat level of software vulnerabilities” (Evaluando el nivel de amenaza en vulnerabilidades de software) está disponible en Securelist.com.
Hacker egipcio afirma haber encontrado vulnerabilidades en Yahoo!
Un hacker en Egipto ha dado detalles vagos sobre tres vulnerabilidades que afirma haber encontrado en la página de Yahoo, la segunda vez en dos meses que ha encontrado problemas en sitios de compañías importantes de tecnología.
El hacker, que se llama a sí mismo “Virus_Hima”, ofreció capturas de pantalla con las que dice probar los problemas que encontró, uno de los cuales le otorga acceso a una copia de respaldo de uno de los dominios de Yahoo. Los otros dos problemas son vulnerabilidades de scripting y otra relacionada a SQL, según un post en Pastebin.
Escribió que no ofreció la data obtenida por traspasar las vulnerabilidades de Yahoo dado que se ha ganado el respeto de varias empresas por sus ataques a Adobe, Yahoo y otras empresas. Virus_Hima alertó al IDG News Service de su último trabajo con Yahoo, pero no contestó inmediatamente respuestas a través de correo electrónico.
En noviembre, Virus_Hima lanzó una serie de más de 200 cuentas de correo electrónico que obtuvo a través de una base de datos que pertenecía a Adobe Systems. Sólo ofreció direcciones que terminaban en “adobe.com”, “.mil” y “.gov”. Adobe tuvo que cerrar Connectusers.com, que servía como una comunidad de usuarios de su servicio Connect Web.
Virus_Hima escribió que luego que publicó la data de Adobe, la compañía lo contactó rápidamente y dijo que el tema se había resuelto. Dice que usualmente las compañías se demoraban entre tres y cuatro meses en resolver estos problemas.
Los directivos de Yahoo no pudieron ser contactados inmediatamente para comentar el hecho.
Los productos de Oracle, Java y Adobe, los más vulnerables frente a ataques
Según el informe trimestral sobre amenazas informáticas de Kaspersky Lab, en más del 50 % de los ataques se han aprovechado brechas de seguridad en Java, que sigue en el listado de programas con más vulnerabilidades junto con aplicaciones de Oracle y Adobe.
Los ordenadores sin protección presentan una media de ocho vulnerabilidades diferentes, siendo mayoritarias las que afectan a productos de Oracle yJava. Así lo indica el informe trimestral sobre amenazas informáticas de Kaspersky Lab, que sitúa a Java en lo más alto del ranking de los productos másvulnerables. Este listado también incluye cinco productos de Adobe, entre ellos Adobe Reader, los productos QuickTime Player e iTunes de Apple y el reproductor de Nullsoft Winamp Media, mientras que el mecanismo de actualizaciones automáticas incluido en Windows 8 ha provocado que Microsoft ya no se figura en la lista de vulnerabilidades detectadas.
Según Kaspersky Lab, el éxito de los ataques realizados mediante exploits depende de las vulnerabilidades en el código de las aplicaciones instaladas en los equipos de los usuarios. En este sentido, Java está instalado en más de 1.000.000.000 de ordenadores, un software cuyas actualizaciones se instalan a petición del usuario y no de forma automática, lo que alarga el tiempo vital de lasvulnerabilidades. Además, es fácil usar los exploits paraJava en cualquier versión de Windows, algunos de los cuales pueden ser incluso multiplataforma, de ahí el especial interés de los ciberdelincuentes por lasvulnerabilidades Java.
Los exploits para Adobe Reader también están muy extendidos, si bien su popularidad ha ido bajando debido a que el mecanismo usado para detectarlos es bastante sencillo y a la introducción de actualizaciones automáticas en las últimas versiones.
Kaspersky Lab aconseja a los usuarios estar pendientes de las actualizaciones para los programas instalados y emplear sistemas de protección contra los exploits.
Los delincuentes informáticos copian los trucos de Stuxnet
Técnicas utilizadas por programas maliciosos respaldados por el Gobierno están surgiendo en el código utilizado por los delincuentes cibernéticos ordinarios.
El código malicioso al parecer utilizado por los Gobiernos para espiar, acosar y sabotearse entre ellos ha acaparado los titulares en los últimos años, aunque la naturaleza tan específica de este tipo de ataques ha hecho que los usuarios normales de Internet hayan tenido poco que temer hasta ahora. Eso podría estar cambiando, ya que algunos expertos señalan que las técnicas utilizadas en el malware de alta sofisticación y respaldado a nivel estatal están llegando a manos de programadores menos hábiles que se dirigen a los usuarios habituales de Internet (y sus cuentas en línea o detalles de tarjetas de crédito).
“Los cibercriminales también leen las noticias”, señala Roel Schouwenberg, investigador de seguridad de la empresa rusa de seguridad informática Kaspersky. Schouwenberg añade que las sofisticadas (y patrocinadas a nivel gubernamental) “ciberarmas y ataques dirigidos nos dan una idea de lo que podemos esperar de la corriente principal”.
El malware patrocinado por el Gobierno llegó a ser ampliamente conocido en 2010 con el descubrimiento de Stuxnet, un programa dirigido a los sistemas de control industrial iraníes, y que se cree fue patrocinado por Israel y Estados Unidos. Desde entonces, se han descubierto varios otros paquetes de malware de gran sofisticación, que también se cree han sido elaborados por Gobiernos o contratistas del Gobierno. Estos paquetes incluyen Duqu, expuesto a finales de 2011, y Flame, encontrado en mayo de 2012.
Una de las razones por las que los programas maliciosos son tan eficaces es que tienden a explotar vulnerabilidades de software desconocidas, conocidas como ‘zero-days’, en programas ampliamente utilizados como Microsoft Windows, para obtener el control de un ordenador. Schouwenberg señala que esas vulnerabilidades pueden ser rápidamente “copiadas y pegadas” por otros programadores, como ocurrió tras el descubrimiento de Stuxnet, pero también suelen ser parcheadas con relativa rapidez por las empresas de software. Lo más preocupante es la forma en que las características de diseño de alto nivel están siendo copiadas, asegura.
“Están copiando la filosofía de diseño”, señala Schouwenberg, y agrega que una de las técnicas ahora populares encontradas en ‘malware criminal’ convencional está inspirada en el descubrimiento de Stuxnet. Por ejemplo, Stuxnet instalaba controladores de dispositivos falsos usando certificados digitales de seguridad robados a dos empresas taiwanesas de componentes informáticos, con lo que podía pasar a través de cualquier software de seguridad. El malware actual utiliza certificados falsos de forma similar, para esconder software malicioso frente a los programas antivirus.
“Stuxnet fue el primer malware serio con un certificado robado, y desde entonces se ha convertido en algo cada vez más común”, indica Schouwenberg. “Hoy día el uso de certificados falsos en malware es muy común”.
Aviv Raff, director de tecnología y cofundador de la empresa israelí de seguridad informática Seculert, está de acuerdo. “Las características de diseño de Stuxnet, Duqu y Flame están apareciendo en el malware criminal oportunista”, asegura.
Schouwenberg señala que en este momento está en busca de trucos usados en el recientemente descubierto Flame, descrito por algunos investigadores como “el más complejo jamás encontrado”.
Flame tenía un diseño modular, lo que permitía a sus operadores enviar partes actualizadas según fuera necesario, por ejemplo para llevar a cabo determinadas acciones o ataques. “Creo que definitivamente este tipo de enfoque se hará más común”, asegura Schouwenberg, que cree que podría ser atractivo para los creadores de malware como forma de vender su trabajo a otros. “Proporciona una oportunidad para ampliar las ventas, si es que si pueden vender algo, y luego ofrecer kits de actualización y mejora más adelante”.
Schouwenberg señala que un diseño modular también dificulta que las empresas de seguridad puedan dar seguimiento a una determinada pieza de malware. “Cuando solo cargan los módulos para objetivos específicos, es mucho más difícil captar todos los componentes y ver y saberlo todo sobre ellos”.
Sean Sullivan, investigador de la empresa de seguridad finlandesa F-Secure, está de acuerdo en que esta es una buena forma de entender la forma en que los delincuentes cibernéticos comunes crean tecnología. “Los delincuentes operan en un ecosistema donde el ‘malware como servicio’ tiene un gran consumo masivo. Compran componentes y los incluyen en sus operaciones. Al igual que un negocio, los optimizan con fines de lucro”, señala.
Sin embargo, Sullivan también afirma que muchos criminales cibernéticos han invertido en su propio código, y no pueden dedicar recursos a la misma escala de un contratista o agencia del Gobierno.
“La seguridad operacional requerida por los responsables de Stuxnet, Flame, etc, hace que simplemente no puedan subcontratar nada, tienen que hacer de todo, de principio a fin”, indica Sullivan, “lo que supone una gran inversión y, ciertamente, no es en absoluto rentable”.
No obstante, Schouwenberg asegura que la afluencia de nuevas ideas costosamente desarrolladas hacia el malware criminal es probable que aumente en los próximos años. Las agencias y contratistas gubernamentales de todo el mundo buscan abiertamente a programadores con las habilidades necesarias para crear malware sofisticado, afirma, lo que sugiere que tendremos más Stuxnets, Duqus y Flames en el futuro. “Ese es un gran cambio comparado con unos pocos años atrás”, señala.
Inteco alerta del virus Backdr.HG para Windows
El Instituto Nacional de Tecnologías de la Comunicación ha emitido un nuevo informe semanal sobre vulnerabilidades. En este caso, destaca Backdr.HG, un virus desarrollado para Windows que permite a los cibercriminales el acceso remoto a sitios maliciosos desde los que descarga nuevos ejemplares de malware.
En concreto, el virus se llama Backdr.HG. Este nuevo malware llega a los usuarios a través de un correo electrónico. En el correo, los ciberdelincuentes utilizan la imagen de Microsoft para credibilidad a la amenaza. En concreto el asunto del mensaje tiene que ver con ´Cambios importantes en las condiciones del servicio de Microsoft´. No es la primera vez que se utiliza este gancho y recientemente se alertó de una amenaza similar, que usaba el mismo engaño, con la diferencia de que entonces se facilitaban supuestos enlaces a páginas de Microsoft, que en realidad eran acceso a webs maliciosas.
En el caso de los mensajes de Backdr.HG, los cibercriminales no hacen uso de enlaces sino de documentos adjuntos infectados. De esta forma, un archivo que acompaña al mail es el responsable de la instalación del virus en los sistemas Windows. Una vez instalado este troyano, los ciberdelincuentes pueden conectar los equipos “con sitios maliciosos remotos para descargar nuevos virus”, según han explicado desde Inteco.
El secreto para identificar la estafa es que contine un archivo adjunto identificado como Microsoft-Services-Agreement.pdf.exe, que según Inteco nunca acompaña a una notificación de Microsoft. La recomendación desde el Instituto es que no se ejecuten fiches adjuntos en correos que no han sido solicitados. Además es bueno tomar precauciones y tampoco abrir enlaces ni imágenes.
Google incrementa los bonos por encontrar bugs en Chrome
Al parecer Google Chrome se ha vuelto tan bueno, confiable y seguro que es cada vez más difícil encontrarle algún error, por esto, Google piensa en recompensar a las personas que se pongan a buscar a conciencia estos errores y se los haga saber.
El Chromium Vulnerability Rewards Program o programa de recompensas de vulnerabilidad Chromium está ofreciendo bonos de USD$1000 o más, adicionales a las cantidades de dinero ya ofrecidas, a las personas que encuentran bugs o errores que puedan ser explotados y que afecten a Chrome o Chromium así como a otras aplicaciones, incluso, la recompensa se dará si se logra encontrar algún problema en código que se haya declarado como estable.
Las recompensas otorgadas a los usuarios que participan en este programa usualmente van de los USD$500 a los USD$1,000 pero, en casos de hallazgos extraordinarios se han llegado a otorgar hasta USD$10,000 o más.
La razón por la que ha decidido ofrecer más dinero es que muchos de los participantes han abandonado el programa, en mayor parte porque ya no hay mucho que encontrar.
Si crees que has encontrado un error fatal en Chrome esta es tu oportunidad de ganar muy buen dinero ¡Imagina lo que podrías comprar con USD$10,000!
Chrome destaca en el informe de vulnerabilidades de Inteco del primer semestre
El Instituto Nacional de Tecnologías de la Comunicación (Inteco) publicada cada semestre un informe en el que comenta las tendencias del sector en cuanto a vulnerabilidades. Inteco colabora con el National Institute of Standards and Technology para la creación de un listado de vulnerabilidades, que ya ha alcanzado las 51.000 referencias. El objetivo es informar y advertir sobre fallos de seguridad y destacar las tendencias en dicho campo.
En el informe del último semestre, Inteco ha señalado que Google Chrome ha sido el producto más afectado por las vulnerabilidades. Lo cierto es que el navegador de Google suele reparar un gran número devulnerabilidades con cierta frecuencia, fruto de los incentivos que Google ofrece a los desarrolladores que denuncian los puntos débiles de su navegador.
Google Chrome repite en el primer puesto, aunque con menos diferencia respecto a otros productos que han experimentado un incremento en el número de vulnerabilidades registradas. En concreto, Inteco ha mencionado la escalada de Linux e iOS en este campo. Según el Instituto Nacional de Tecnologías de la Comunicación, ambos sistemas han sufrido un mayor número de vulnerabilidades, lo que es toda una novedad.
La lectura que se hace en el informe es que la aparición de Linux e iOS entre los sistemas convulnerabilidades termina con el mito de que existen sistemas totalmente. Hasta ahora tanto Linux como iOS habían tenido un tratamiento de sistema invulnerable, pero los hechos confirman que no es así.
Entre las tendencias comentadas por Inteco, también destaca que los sistemas operativos móviles continúan aumentando su presencia en el ranking de vulnerabilidades. En este sentido, desde Inteco han explicado que se trata de signos que confirman que hay que “cuidar la seguridad” de los dispositivos móviles, ya sean iOS, Android o de cualquier otro tipo. Especial hincapié ha hecho Inteco ante el aumento de estos dispositivos en el entorno profesional, la tendencia BYOD, que hace que la protección deba ser aún mayor.
Por último, Inteco también ha destacado lasvulnerabilidades detectadas en sistemas SCADA y en infraestructuras críticas. Se ha registrado un aumento en estos campos e Inteco ha querido hacer una mención por lo delicadas que son dichas vulnerabilidades.
Hacker libera código fuente de Skype
Un hacker conocido como “57UN” logró adquirir y filtrar en Internet el código fuente del programa para videoconferencias de Microsoft, Skype.
El anuncio se dio a través de comunicado difundido por el grupo hacktivista “Anonymous”. El código fuente, en pocas palabras, se trata del conjunto de instrucciones que un programa sigue para funcionar y que permite a quien lo posee conocer las vulnerabilidades del mismo con el fin de mejorarlo o tomar ventaja de ello para el hackeo de los usuarios.
Por medio del sitio Pastebay.net, el hacker colocó la dirección desde la cual es posible descargar el código fuente.
Skype1.4_binaries
http://thepiratebay.se/torrent/6442887
SkypeKit_sdk+runtimes_370_412.zip
skypekit binaries for Windows and x86_Linux + SDKhttp://thepiratebay.se/torrent/7190651/
skype55_59_deobfuscated_binaries (Windows)
http://thepiratebay.se/torrent/7238404/
http://twitter.com/57UN
#Anonymous #Antisec #PoliceState #SecurityState #OpenSource
Al respecto y tras haber revisado el código fuente, el hacker indicó que la seguridad de la aplicación Skype carece fiabilidad y no ofrece estándares “abiertos” que permitan que otros trabajen en la mejora de la seguridad.
“Para los guru’s de seguridad diciéndome sobre la criptografía de Skype, es una aplicación con prácticas de seguridad extremadamente cuestionables y sin estándares abiertos,” dijo en Twitter.
Añadió que la poca seguridad que existe en Skype ha ocasionado que rebeldes en Siria sean atacados e identificados por medio del troyano conocido como BlackShades.
“El troyano es distribuido por medio de cuentas de Skype comprometidas de activistas Sirios en la forma de un archivo .pif que presume ser un video nuevo muy importante pero que por el contrario se trata de un archivo ejecutable malintencionado, que de ser abierto comienza a recolectar información de las computadoras infectadas,” publicó la Fundación Frontera Electrónica (FFE).
“Aquí otro caso y prueba increíble de que Skype está proveyendo de una encriptación falsa para afectar al activismo en Siria,” dijo. “Skype es un troyano. Es una herramienta gratuita (gratuita como en la frase cerveza gratuita, pero NO en el sentido de libre) que permite a los usuarios comunicarse.”
En otros datos difundidos, la FFE en febrero del 2008 solicitó documentos al FBI relacionados con un reporte de monitoreo realizado a Skype, esto después de que un artículo publicado en la revista Computerworld, sugirió que las autoridades alemanas habían contratado a a una compañía para la creación de un troyano diseñado para atacar y tomar ventaja de la aplicación de Microsoft, Skype, descubriendo que el FBI tenía una herramienta similar, misma de la cual dio más detalles en agosto del 2009 a través de tres conjuntos de documentos en los que mencionó más sobre el tema.
Actualización de seguridad de java-1.7.0-openjdk para Red Hat Enterprise Linux 6
Red Hat ha publicado el boletín de seguridad RHSA-2012-1009 que afecta al paquete java-1.7.0-openjdk de la versión 6 de Red Hat Enterprise Linux en sus ediciones Desktop, Server, Workstation y HPC Node. Esta actualización es consecuencia de las múltiples actualizaciones que Oracle hizo públicas para Java el pasado 12 de Junio.
En total, se corrigen 10 vulnerabilidades: Una de importancia baja, tres de gravedad moderada, una importante y cinco críticas. Las vulnerabilidades tratadas en el boletín por la actualización son las siguientes:
- Dos vulnerabilidades localizadas en CORBA (Common Object Request Broker Architecture), con identificadores CVE-2012-1719 y CVE-2012-1711, calificadas como moderada y crítica respectivamente y explotables de forma remota la primera y local la segunda. Podrían permitir el salto de las restricciones de seguridad impuestas por el sandbox de Java para acceder a datos del sistema, modificarlos, y en el caso de CVE-2012-1711 causar además una denegación parcial del servicio, a través de una aplicación Java maliciosa.
- La vulnerabilidad CVE-2012-1713 reside en el administrador de fuentes, calificada como crítica y explotable remotamente. Este error podría permitir a un atacante remoto provocar una denegación de servicio parcial en la máquina virtual de Java o potencialmente ejecutar código remoto con los privilegios del usuario a través de un fichero especialmente manipulado.
- Otra vulnerabilidad con CVE-2012-1716 en el componente Swing y de importancia crítica. Un atacante remoto, a través de una aplicación Java maliciosa, podría acceder a elementos de la interfaz de usuario para provocar una denegación parcial del servicio o saltar las restricciones de la sandbox de Java.
- La vulnerabilidad con CVE-2012-1717 (de gravedad baja) afecta a varias clases de la librería estándar de Java Runtime, al provocar que estas creen ficheros temporales con permisos incorrectos. Esto podría permitir a un atacante local acceder a información sensible.
- El identificador CVE-2012-1718, corresponde a un fallo al manejar la Lista de Certificados Revocados (CRL, Certificate Revocation Lists). Una lista con números de serie de certificados duplicados podrá ser ignorada, lo que podría permitir una denegación de servicio parcial. Se le asigna una importancia moderada.
- Dos vulnerabilidades críticas en Java HotSpot Virtual Machine (CVE-2012-1723 y CVE-2012-1725). Estos fallos podrían permitir a un atacante remoto realizar una denegación de servicio en la máquina virtual de Java, saltar las restricciones de su sandbox o potencialmente ejecutar código arbitrario a través de una aplicación Java especialmente manipulada.
- El parseador XML de Java del componente JAXP contiene un error al tratar determinados archivos XML. Un atacante remoto podría aprovechar este problema para para hacer que entre en un bucle infinito a través de un fichero XML manipulado para tal efecto. Esta vulnerabilidad ha sido calificada como moderada, y se le ha asignado el identificador CVE-2012-1724.
- Por último y calificada como importante, la vulnerabilidad CVE-2012-1726, alojada en la función java.lang.invoke.MethodHandles.Lookup, que no concede correctamente los modos de acceso. Lo que podría permitir a una aplicación Java no verificada saltar las restricciones de seguridad impuestas por la sandbox.
Adicionalmente, se corrige un bug a la hora de compilar scripts SystemTap.
Más información:
Important: java-1.7.0-openjdk security and bug fix update:
https://rhn.redhat.com/errata/RHSA-2012-1009.html
Oracle Java SE Critical Patch Update Advisory – June 2012:
http://www.oracle.com/technetwork/topics/security/javacpujun2012-1515912.html
PayPal recompensará a quienes encuentren fallos de seguridad en sus sistemas
PayPal ha seguido el ejemplo de otras compañías, como Mozilla, Google o Facebook, y ha anunciado un programa de recompensas que premiará a los que descubran fallos de seguridad en sus sistemas.
Quizá el más conocido sea el programa de recompensas de Google, que no sólo incluye la búsqueda de fallos en sus productos de software, como Chrome, sino también en sus servicios web. La compañía ya ha pagado más de 400.000 dólares en gratificaciones desde que se inició el programa. Facebook, por su parte, dijo haber pagado 40.000 dólares durante las primeras semanas de su programa.
Michael Barrett, director de seguridad tecnológica de PayPal, dice en un blog que aunque inicialmente tenía reservas acerca de las idea de pagar a los investigadores por encontrar vulnerabilidad, “estoy contento de admitir que los datos han demostrado que estaba equivocado”. Barret asegura ahora que lasrecompensas han demostrado ser un método muy efectivo de llamar la atención de los investigadores sobre los servicios de Internet y por lo tanto de encontrar problemas potenciales.
El nuevo programa de recompensas está restringido a cuatro tipos de vulnerabilidades: inyección SQL, eludir la verificación, cross-site scripting y falsificaciones de peticiones cross-site. PayPal determinará la cantidad a pagar dependiendo de la gravedad y prioridad del problema.
No hace mucho que Google incrementó la cantidad de sus pagos, desde los 3.100 dólares a los 20.000 dólares, mientras que Mozilla paga 3.000 dólares por cada fallo que se descubre en sus productos.
Una vez que los desarrolladores hayan solucionado el fallo y lanzado el parche correspondiente, recibirá el pago a través de PayPal. Los expertos aseguran que este tipo de programas ayudarán a PayPal a reducir el número de vulnerabilidades en su web, pero no las hará desaparecer completamente.
