GitHub celebra el Mes de la Concienciación sobre la Ciberseguridad poniendo en el centro de atención a uno de los investigadores de seguridad más destacados de su programa Bug Bounty, @imrerad. Con más de 100 millones de desarrolladores y 420 millones de repositorios alojados, GitHub está comprometido a garantizar la seguridad y confiabilidad del código que impulsa sus actividades diarias.
El Programa de Bug Bounty de GitHub juega un papel crucial en el avance de la seguridad del ecosistema de software, permitiendo a los desarrolladores trabajar con confianza en la plataforma y sus productos. Para GitHub, la clave de un programa de bug bounty exitoso reside en la colaboración con investigadores de seguridad competentes.
En los últimos 10 años, GitHub ha desembolsado más de 5.5 millones de dólares en recompensas, fortaleciendo su relación con la comunidad hacker. Gracias a la escucha activa del feedback recibido, GitHub trabaja continuamente en mejorar y hacer su programa más atractivo para los investigadores.
Para conmemorar el Mes de la Concienciación sobre la Ciberseguridad, GitHub entrevistó a @imrerad, un investigador destacado especializado en inyecciones de comandos y fallos en la implementación lógica. Durante la entrevista, @imrerad compartió aspectos clave de su trayectoria y experiencia.
Se interesó por la seguridad informática en su adolescencia, reportando vulnerabilidades a empresas incluso antes de que los programas de bug bounty se hicieran populares. Su primera recompensa llegó en 2016 de Android, y desde entonces ha continuado participando en estos programas como un hobby, además de su empleo a tiempo completo.
La naturaleza adictiva de los bug bounty y el deseo de estudiar nuevas tecnologías han mantenido a @imrerad activo en este campo. Además de hacker, también disfruta de la música y la automatización doméstica, como la construcción de un sistema de riego automático.
Para mantenerse al día con las tendencias de vulnerabilidades, @imrerad revisa informes de bug bounty de otros investigadores y changelogs de sus objetivos. Su experiencia como ingeniero de seguridad también contribuye a su metodología.
Cuando investiga vulnerabilidades, prefiere los fallos lógicos únicos y aquellos que no pueden ser detectados fácilmente por herramientas comunes. En su proceso, @imrerad comienza con un objetivo familiar, lista características problemáticas y ejecuta ataques priorizados, ajustando su enfoque a medida que avanza.
A los nuevos investigadores, @imrerad sugiere tomar notas detalladas, no subestimar posibles ataques triviales y encontrar el equilibrio adecuado en la inversión de tiempo en superficies de ataque prometedoras. También los anima a publicar sus hallazgos y herramientas para apoyar a la comunidad investigadora.
Para aquellos interesados en unirse a él, sugiere conectar a través de LinkedIn, seguir sus publicaciones en Medium o revisar sus herramientas en GitHub.
Gracias a @imrerad por su participación y sus contribuciones al programa de Bug Bounty de GitHub, cada reporte es una oportunidad para hacer GitHub y sus productos más seguros. Si te sientes inspirado a buscar errores, no dudes en reportar tus hallazgos a través de HackerOne.
Aquellos interesados en ayudar a asegurar los productos y servicios de GitHub pueden revisar las vacantes disponibles en su página de carreras.
