El creador de Arc, The Browser Company, ha anunciado oficialmenteinició un programa de recompensas por errorespara mantener bajo control la seguridad de su creciente navegador basado en Chromium.La compañía también está lanzando un nuevo boletín de seguridad para mantener una “comunicación transparente y proactiva” con usuarios e investigadores sobre informes y correcciones de errores.

Estas revisiones de seguridad siguieronun error devastadorun investigador descubrió e informó a la empresa que habría permitido a los delincuentes insertar código arbitrario en el navegador de cualquier persona con sólo conocer su ID de usuario fácilmente localizable.

El problema residía en la función Arc Boosts que permite personalizar cualquier sitio web con CSS y Javascript.Además de sus mitigaciones iniciales, la compañía dice que ahora deshabilitó Boosts con Javascript de forma predeterminada y agregó una nueva palanca global para desactivar Boosts por completo en la versión 1.61.2 de Arc.

El investigador, conocido como xyz3va, recibió inicialmente una recompensa de 2.000 dólares por la información.Ahora, con el nuevo programa implementado, The Browser Company estáaumentarlo a $ 20,000 retroactivamente.La vulnerabilidad fue reparada el 26 de agosto.

Con el nuevo programa, los investigadores de seguridad pueden enviar informes y obtener recompensas según la gravedad del error.Los hallazgos de gravedad baja que son de “alcance limitado” o “difíciles de explotar” podrían generar hasta $500, Medio obtiene hasta $2500, Alto hasta $10,000 y Crítico gana el límite de $20,000.

La publicación del blog también describió nuevas prácticas para encontrar otras vulnerabilidades, como pautas de desarrollo con revisiones de código adicionales, agregar auditorías de código específicas de seguridad y contratar nuevo personal para el equipo de ingeniería de seguridad.