Баунти программы: Крупные производители делают ставку на программы Bug Bounty
Крупные производители делают ставку на программы Bug Bounty
Крупные производители делают ставку на программы Bug Bounty
Alexander Antipov
Желающие запустить собственную программу вознаграждения за обнаруженные уязвимости могут либо самостоятельно организовать конкурс, либо воспользоваться одной из площадок для проведения Bug Bounty.
Необходимость в постоянном поиске уязвимостей в программном обеспечении и сетевой инфраструктуре вынуждает крупные компании все чаще обращаться за помощью к широкому кругу экспертов. Делается это через программы вознаграждения за найденные уязвимости.
Bug Bounty зачастую позволяет любому пользователю попытаться обнаружить уязвимость и сообщить о ней на определенных условиях. Желающие запустить собственную программу вознаграждения за обнаруженные уязвимости могут либо самостоятельно организовать конкурс, либо воспользоваться одной из площадок для проведения Bug Bounty, например HackerOne, BugCrowd или OpenBugBounty.
В случае с OpenBugBounty, площадка призвана вызвать интерес в основном у компаний малого и среднего бизнеса, поскольку является бесплатной и, в то же время, позволяет организовать программу вознаграждения. Однако, далеко не маленькие фирмы начали пользоваться услугами проекта OpenBugBounty. Среди действительно крупных компаний свои программы по вознаграждению на ресурсе запустили GoDaddy, Orange France, Lidl, Toyota, Henkel и даже российский ресурс Avito.
Согласно статистике проекта, программы вознаграждения уже приносят свои плоды. Ниже список из 20 известных сайтов, которые запустили программы вознаграждения.
Как видим на рисунке выше, программы поиска уязвимостей приносят неплохие плоды своим организаторам.
Напомним, на этой неделе GitHub объявил о снятии ограничения на максимальную выплату за критические уязвимости, а количество выплат компании исследователям в рамках данной программы за прошлый год составило более $165 тыс.
Однако у Bug Bounty есть и свои противники. Специалисты Массачусетского технологического института (MIT) назвали программы Bug Bounty неэффективными. Согласно исследованию, семь наиболее «продуктивных» участников программы Facebook зарабатывали всего $34 255 в год при обнаружении в среднем 0,87 ошибок в месяц, а в случае с программами на HackerOne лидеры зарабатывали только $16 544 при выявлении 1,17 ошибок в месяц в среднем.
Поделиться новостью:
Баунти-программа: что это и как на этом заработать
Что такое баунти-программа
Фото: depositphotos
Баунти-программа – возможность участвовать в ICO криптовалюты без прямых вложений. Разработчики криптовалюты предлагают пользователям выполнить определённые действия, чтобы получить токены. Действия и их цели могут быть разными. Например, баунти может быть направлена на привлечение новых пользователей и популяризацию криптовалюты.
Чаще всего баунти-программы направлены именно на популяризацию через соцсети. Например, вы можете оставить отзывы о крипте у себя на странице в «Фейсбуке». И в зависимости от охвата поста и количества ваших подписчиков, на ваш счёт будет зачислена определённая награда.
Каждая криптовалюта предполагает проведение баунти-программы до или после ICO. Обычно на неё выделяется большое количество токенов.
Во время загрузки произошла ошибка.
Баунти-программы включают в себя четыре направления:
- Написание материалов в СМИ и блогах;
- Написание постов и отзывов о криптовалюте в соцсетях;
- Фолловинг и шеринг в соцсетях;
- Техническая помощь разработчикам – поиск багов, разработка дизайна, проведение PR-кампании.
Часть баунти-кампании, направленная на социальную активность, может проводиться на различных площадках. В целом, ограничений нет, но большинство разработчиков имеют приоритеты по соцсетям. Например, большинство баунти хотят видеть отзывы о себе в «Фейсбуке», «Телеграме» и «Твиттере». Но в идеале, конечно, посты размещают в независимых блогах и медиа.
Как проводится баунти
Для того, чтобы привлечь внимание людей к будущему проекту и заставить их его обсуждать, нужно опубликовать много информации о криптовалюте и ICO. Также нужно провести целую кампанию по поиску потенциальных вкладчиков.
Самым популярным методом нахождения публики является пиар-кампания в социальных сетях. Это обычные лайки, репосты, взаимные фолловинги. Этот метод, хоть и является самым эффективным, стоит гораздо дешевле остальных, поскольку такой деятельностью могут заниматься любые пользователи. В зависимости от охвата, человек будет получать своё количество токенов ещё до начала стадии ICO.
Во время загрузки произошла ошибка.
Большую награду получают владельцы крупных блогов, публикующих посты о криптовалюте. Как и с соцсетями, количество заработанных токенов зависит от просмотров и активности пользователей.
Важную роль играют переводчики текстов. Любой проект стремится быть мультиязычным – так он сможет охватить большее число людей. Поэтому баунти-программа нуждается в привлечении переводчиков текстов. Эти тексты могут быть как постами в соцсетях, так и колонками в блогах. Переводчики тоже получают большую награду в баунти-программе.
Также последнее время разработчики часто начали вставлять ссылки на свой проект в подписи на знаменитом криптофоруме Bitcointalk. Этот метод стал популярен у стартаперов после того, как они заметили его эффективность. Вознаграждение, как всегда, зависит от пользовательской активности. В данном случае – от количества переходов по ссылке.
Во время загрузки произошла ошибка.
Как выбрать баунти-программу
Чтобы заработать больше денег на баунти, нужно найти такой проект, где будет выгодно работать. Для этого нужно провести тщательный анализ рынка ICO и найти приемлемую программу. Вот критерии, по которым следует оценивать баунти-программу:
- Количество участников баунти-программы. Вам нужно успеть «заскочить» быстрее остальных, ибо при большом количестве участников, каждый получит меньшую награду, чем получил бы при меньшем количестве. То есть ваша награда обратно пропорциональна количеству участников в проекте. Но это правило не распространяется на те баунти, в которых награда распространяется в зависимости от количества проделанной работы.
- Известность разработчиков. Проект, из которого вы собираетесь извлечь деньги, должен иметь авторитетных создателей, которые полностью несут ответственность за свою криптовалюту. Про разработчиков можно узнать на том же форуме Bitcointalk. Желательно, чтобы они имели открытые профили в соцсетях и выступали на конференциях или вебинарах. Вам нужно знать личности разработчиков, чтобы осознавать, на что вы идёте. Может, у них был в прошлом опыт запуска другой криптовалюты? Может, он провалился? В общем, вы должны узнать максимально много про разработчиков проекта.
- Возможность выполнения работы. Вы должны внимательно оценить, «вывезете» ли вы такую нагрузку и такое количество работы, которое надо выполнить на баунти. Например, вы справитесь с написанием 20 постов в соцсетях. Но вряд ли сможете написать 30 колонок в блоге, да ещё и с переводом. Тут тоже надо внимательно ознакомиться с условиями баунти-программы.
- Собранные деньги. Вы должны узнать, сколько денег успел привлечь проект до того, как вы в него вошли. Например, если программа не осилила $100 тысяч за неделю после старта, то вам вряд ли нужно напрягаться с таким баунти. В итоге вы просто получите за свою работу 2 копейки, равно как и остальные участники баунти. Так себе перспектива.
- Отношение к вам управляющих проектом. Если на каком-то этапе вы поняли, что ваши сообщения, вопросы или просьбы игнорят, то лучше соскочить с проекта. Если уже на стадии баунти менеджеры так относятся к участникам проекта, то не стоит от них ждать честного выполнения обещаний. Этот совет особенно популярен на форумах от людей с горьким опытом ведения дел с подобными менеджерами.
Раздел форума Bitcointalk, посвящённый баунти
Где найти баунти-программы
Вся информация о баунти-программах появляется на форуме Bitcointalk. Обычно там же есть обсуждение самого проекта, его ICO и, собственно, баунти. Заходите на форум, регистрируйтесь, ищите выгодную вам программу в специальном разделе. Также на Medium есть специализированные блоги о баунти-программах, где вы тоже можете найти нужный вам проект и прочитать про него отзывы.
Во время загрузки произошла ошибка.
Больше полезной информации о криптовалютах — в специальном разделе.
Открываем с экспертами Cryptoratings.ru консультации о криптовалютах. Стоит ли покупать крипту сейчас? Почему скачут курсы? Биткоин или эфир? Пишите вопросы на [email protected]. Самые интересные и важные опубликуем и разберём.
Хотите первым узнавать новости о криптовалютах? — Жмите на кнопку подписки!
Самые крутые баунти-программы ИТ-компаний — Rubrain Blog
Баунти в ИТ — привычное дело. Вместо того, чтобы привлекать штатных тестировщиков, компании объявляют вознаграждения за поиск багов. В этом материале мы рассмотрим самые щедрые баунти-кампании, на которых только можно было заработать талантливым хакерам.
- Приятное с полезным: $ 25 000 за взлом Pornhub
Порногигант объявлял награду от 50 до 25 000 тысяч долларов за найденный баг. Его описание с принтскринами кода нужно было отправить в техподдержку компании. Дороже всего стоил Remote Shell / Command Execution — $15 000. Чуть дешевле стоил взлом Remote Code Execution — 10 000 долл.
- Нерды для нердов: $10 000 за поиск бага на GitHub
Пару лет назад GitHub объявил баунти-программу от 100 до 5 000 долларов, впоследствии увеличив порог до 10 000 долл за поиск уязвимости. Связаться с компанией можно было отправив репорт на HackerOne. За всю кампанию, GiTHub выплатил в качестве баунти порядка 50 тыс долл.
- Bug Bounty от Google
Одна из самых крупных баунти-кампаний, в ходе которых было выплачено около 2 млн долларов. Хотя приз за нахождение бага не так высок — от 3 до 7,5 тыс долларов, в ней приняли участие тысячи хакеров.
- $100 000 за баг от Microsoft
Не остался в стороне и другой ИТ-гигант. Microsoft предложил от 50 до 100 тыс долларов тем гениям, которые найдут как обойти веб-защиту современных браузеров. Кампания стала одной из самых щедрых в истории.
- “ВКонтакте”: голоса в качестве баунти
Самая большая русская социальная сеть предлагает программистом получить свою внутреннюю валюту — “голоса” за обнаружение уязвимости. Программа также пользуется популярностью, несмотря на отсутствие реальных денег.
- Криптомир: токены в качестве баунти
Расплодившиеся как грибы под дождем блокчейн-стартапы предлагают свои токены в качестве вознаграждения за репост, статью в блоге или активности в чате/на форуме. Обычно, токены еще не листятся на бирже на момент проведения баунти-кампании, поэтому тем, кто участвует, остается только уповать на то, что проект будет успешным, и токены когда-нибудь все же можно будет продать. Баунти-кампания была у многих успешных российских ICO: Humaniq, Revain и т.д. Успешным баунти посвящена целая ветка на Bitcointalk.
Итак, теперь вы знаете все о баунти-программах. Где их искать? На пресловутых HackerOne и Bitcointalk. Удачи!
Баунти (Bounty) программы и проекты
Интерес работы с криптовалютой растет с каждым днем и это касается не только конкретных действий продажи или покупки, но и специальных программ, которые помогают заработать на криптовалюте, не вкладывая в нее. Bounty – программа ICO, которая помогает зарабатывать на раскрутке криптовалют. Происходит это простым образом. ICO проводит стартап для предварительного сбора средств, который поможет разрекламировать и создать пиар-компанию. Участником такой программы может быть каждый желающий. Для этого можно стать активистом и всячески рекламировать продукт.
Что такое баунти программы и за что готовы платить разработчики?
Bounty программы – это прекрасная возможность получить токены или биткоины за свои дела, а не за денежные вклады. Вы делаете определенное количество действий рекламного характера на пользу проекта с большим количеством полезной информации, а ICO платит вам за то, что вы активно рекламируете криптовалюту любыми способами. Нужно сказать, что таким образом можно заработать неплохие деньги. В зависимости от того, какие действия по рекламе вы совершаете, вы получаете баунти-награды, которые превращаются в деньги.
Заработать можно активно участвуя в баунти ICO проектах по рекламе в социальных сетях и рассылке email, тематических форумах, переводе информационных статей о ICO на разные языки, поиску багов, дизайнерским услугам и разработке программного обеспечения. Большинство этих действий достаточно простые и понятные, а многие — мы сами часто выполняем. К примеру, каждый из нас зарегистрирован в социальных сетях, где мы часто делаем репосты статей, подписываемся на страницы или оставляем комментарии по тому или иному поводу. Таким образом можно прорекламировать и криптовалюту. Для такой работы не нужна специализация, при этом вознаграждение достаточно большое. Особенным виртуозам на баунти программы ico проектах получается зарабатывать сотни долларов. Такой большой заработок зависит от программы, которую вы выбираете и насколько много времени ей готовы присвятить.
Реклама в Facebook и Twitter
Самым популярным и простым видом Bounty программы есть работа в Facebook и Twitter. Здесь деньги получают за репосты, ретвиты, подписки и оставление комментариев. На сегодня, это две самые распространенные социальные сети, на которых большинство зарегистрированы и активно пользуются. Например, активному пользователю Twitter предлагается выполнять такие условия:
- подписаться на страницу проекта;
- создавать посты о компании или с использованием названия;
- лайкать и ретвитить записи на странице компании.
Работает такая реклама достаточно активно. Ваша задача привлечь больше фолловеров на свою страницу. Чем их больше, тем больше вы зарабатываете. Такие же действия требуется выполнять и пользователям Facebook.
Подписка на email и переводы статей
Еще два простых и понятных способа, которые пользуются популярностью – это подписка на email или перевод статей с разных языков. Подписка на email заключается в том, чтобы зарегистрироваться на сайте проекта и ввести ящик своей электронной почты для получения новостей. Переводы статей – это наполнение сайта качественным контентом: новостями, субтитрами, письмами и презентациями. Это один из самых популярных способов получить токены. В данном случае нужно оперативно сработать. После выхода определенной новости требуется ее быстрый перевод и публикация. Качественная и быстрая работа в этом направлении хорошо оплачивается.
Что касается подписки на email, то тут может быть установлено ограничение количества подписчиков.
Форумы, тексты, баги
Bitcointalk.org – это самый большой и популярный форум о криптовалютах и всем, что с ними происходит. Задача здесь состоит в том, чтобы быть участником форума и активно ним пользоваться. Здесь вы должны участвовать во всех разговорах, оставлять комментарии и т. д. Такая активность будет хорошо вознаграждаться.
Тексты — чуть более трудоемкий процесс. Если у вас есть свой сайт, то вы можете использовать его как площадку в качестве рекламы компании. Разместить авторские статьи можно также на других блогах. В целом приветствуется любая полезная информация, грамотно составленная в интересную статью.
Также актуальным действием есть поиск проблем на сайте, недочетов, багов, разработка программ или логотипов, создание сайта в целом.
Таким образом, Bounty программы актуальны для тех, кто не имеет возможности прямо сейчас купить биткоин и не хочет разбираться в системе его добычи, но хочет быть причастным к этому делу. Токены распределяются на кошельки активистов в конце проекта. С ними можно производить разные действия или оставить до повышения цены, таким образом, пассивно зарабатывать.
Мнение из сети:
«Рынок ICO никем не регулируем. Ежедневно появляется десятки новых ICO, которые привлекают деньги под какую-то идею. И каждое ICO надеется собрать хотя минимальную сумму, которой было было бы достаточно для реализации данной идеи. Ведь если минимальная сумма не будет собрана, то и идея не будет реализована. Обычно в таком случае деньги участникам возвращаются (это так в правилах прописано), а тем, кто участвовал в Bounty программе говорится спасибо. То есть люди могут потратить много своего личного времени, особенно, те кто делают переводы сайта, whitepapers, а в итоге ничего не получат. Так как идея ICO не нашла понимания у вкладчиков и ICO не смог нужную сумму денег привлечь.»
Самые высокооплачиваемые Bug Bounty программы
Bug Bounty — это программа, предлагаемая многими веб-сайтами и разработчиками программного обеспечения, с помощью которой люди могут получить признание и вознаграждение за нахождение ошибок. Эти программы позволяют разработчикам обнаружить и устранить ошибки, прежде чем широкая общественность узнает о них, предотвращая случаи массовых злоупотреблений. С определением разобрались, теперь давайте взглянем на топ-10 программ Bug Bounty.
1. Apple
На момент запуска программы Bug Bounty от Apple, доступ к ней имел ограниченный круг лиц, но в 2016 году она стала доступна всем желающим. У вознаграждений нет фиксированного потолка, и, кроме того, компания готова заплатить 100,000 $ тому, кто сможет получить доступ к данным, защищённым технологией Apple Secure Enclave. Самая высокая награда составила 200,000 $ за нахождение дыр в безопасности этой технологии.
2. Microsoft
Официально запущенная 23 сентября 2014 года программа Microsoft касается только онлайн-сервисов. К сожалению, награда полагается только за важные и критические уязвимости. Минимальное вознаграждение за критические уязвимости составляет 15,000 $, а максимальное — 250,000 $.
3. Facebook Whitehat
В рамках Bug Bounty программы от Facebook, пользователи могут сообщать о проблемах с безопасностью в Facebook, Instagram, Atlas, WhatsApp и других сервисах компании. Тем не менее, если отчёт о проблеме не соответствует правилам, то Facebook может инициировать судебный иск. Потолка у вознаграждений нет, а минимальная выплата составляет 500 $.
4. Google Vulnerability Reward Program
Под программу Bug Bounty от Google попадают все веб-сервисы компании, которые имеют дело с конфиденциальными данными пользователей: Google, YouTube, Blogger. За них платят от 100 $ до 31,337 $. Также можно искать уязвимости и в других продуктах Google, таких как Chrome и Android, за которые готовы заплатить вплоть до 200,000 $.
5. Intel
Bug Bounty программа от Intel в основном ориентирована на аппаратное обеспечение, прошивку и программное обеспечение компании. К сожалению, в неё не входят недавние приобретения компании, веб-инфраструкутра, сторонние продукты или что-либо, связанное с McAfee. Максимальное вознаграждение за критические уязвимости составляет 250,000 $, минимальное — 500 $.
6. Twitter
Twitter даёт возможность исследователям безопасности сообщать о возможных уязвимостях и поощряет их согласно своей программе Bug Bounty. Минимальное вознаграждение составляет 140 $, а максимальное — 15,000 $.
7. Avast
Avast платит за обнаружение уязвимостей вроде удалённого выполнения кода, повышения привилегий, DoS и обхода сканера. Выплаты составляют от 400 $ до 10,000 $, хотя могут заплатить и больше.
8. Yahoo
Yahoo платит до 15,000 $ за нахождение уязвимостей в своей системе, однако компания не предлагает вознаграждение за поиск уязвимостей в yahoo.net, Yahoo7, Yahoo Japan, Onwander и блоги Yahoo на WordPress. Также Yahoo не устанавливает конкретной минимальной выплаты.
9. Mozilla
Mozilla платит за найденные уязвимости в своих продуктах вроде Firefox, Thunderbird и других. Минимальное вознаграждение составляет 500 $, а максимальное может достигать 10,000 $ и больше.
10. GitHub
В 2013 году у GitHub появилась своя программа Bug Bounty. Кроме выплат исследователи получают очки за найденные уязвимости и продвигаются выше по соревновательной таблице. Тем не менее, вознаграждение полагается только тем, кто не нарушил установленных правил. GitHub платит от 555 $ до 20,000 $.
Перевод статьи «Top 10 Bug Bounty Programs for Ethical Hackers»
$13,7M составили вознаграждения в рамках программ Microsoft Bug Bounty за прошедший год – Новости и истории Microsoft
Специалисты в области кибербезопасности – жизненно важный компонент глобальной экосистемы защиты всех аспектов цифровой жизни и бизнеса. Наше коллективное уважение и благодарность всем исследователям, которые тратят время на обнаружение уязвимостей и сообщают о них прежде, чем этой возможностью воспользуются злоумышленники.
Ландшафт индустрии безопасности постоянно меняется, появляются новые технологии и угрозы. Обнаруживая новые уязвимости и сообщая о них Microsoft через Coordinated Vulnerability Disclosure (CVD), исследователи в области безопасности продолжают помогать нам защищать миллионы клиентов. Microsoft продолжает постоянно улучшать программы Bug Bounty и усиливать партнерства с сообществами специалистов по безопасности. За двенадцать месяцев финансового года Microsoft выплатила премий на $13,7M, что почти втрое больше суммы вознаграждений в $4,4M, выплаченных за аналогичный период прошлого года.
Что изменилось в прошлом году
Мы постоянно оцениваем ландшафт угроз при запуске наших программ и прислушиваемся к мнению исследователей, чтобы облегчить обмен данными. В этом году мы запустили шесть новых bounty-программ и два новых исследовательских гранта, и получили свыше 1000 отчетов от более чем 300 специалистов с шести континентов.
Помимо новых программ свое влияние на деятельность исследователей в области безопасности, по-видимому, оказала и изоляция, связанная с COVID-19. Во всех 15 bounty-программах мы наблюдали повышение вовлеченности исследователей и увеличение объема отчетов в течение первых нескольких месяцев пандемии.
Новые и обновленные bounty-программы
Новые исследовательские программы:
Благодарим всех, кто поделился своими результатами с Microsoft в этом году. Ваши усилия сделали безопаснее жизнь миллионов пользователей и различных экосистем.
Авторы – Ярек Стенли, Линн Мияшита, Сильви Лю, Хлое Браун (Microsoft Security Response Center)
Tags: Bug Bounty, Security, безопасн
Программа LiveAgent Bug Bounty | LiveAgent
Программа раскрытия уязвимостей
LiveAgent стремится обеспечить безопасность своих сервисов для всех, поэтому безопасность данных – наиважнейший приоритет. Наша программа раскрытия уязвимостей создана для минимизации последствий любых недочетов в системе безопасности для наших сервисов или их конечных пользователей. Программа раскрытия уязвимостей LiveAgent покрывает программное обеспечение, частично или в основном разработанное компанией Quality Unit.
Если Вы занимаетесь исследованиями в сфере компьютерной безопасности и обнаружите уязвимость в нашей Системе, мы будем благодарны, если Вы непублично сообщите нам об этой уязвимости и дадите нам возможность исправить ее до того, как Вы опубликуете техническое описание этой проблемы.
После того, как исследователь в сфере безопасности передает нам описание уязвимости в описанном выше формате, мы обязательно с ним/ней связываемся. Мы проверяем факт наличия уязвимости, отвечаем нашедшему ее и исправляем ее для обеспечения безопасности и конфиденциальности данных. Мы не станем предпринимать шагов для юридического преследования нашедшего уязвимость, приостанавливать действие его учетной записи или удалять ее, если это лицо ответственно отнесется к сообщению нам информации о находке. В случае же нарушения указанного порядка, LiveAgent оставляет за собой все права на юридически значимые действия.
Предоставление информации
Делитесь информацией о любых возможных уязвимостях с командой разработчиков LiveAgent по электронной почте [email protected]. Пожалуйста, не размещайте публично эти данные вне процесса предоставления информации разработчику без явно выраженного на то согласия LiveAgent. При сообщении информации о любых возможных уязвимостях, пожалуйста, передавайте нам информацию во всей ее максимальной полноте. Если у Вас имеется информация о нескольких уязвимостях, пожалуйста, отправляйте информацию только об одной из них (по возможности, о самой важной) и дождитесь ответа.
Вознаграждение
В качестве благодарности, мы рады предложить исследователям в сфере компьютерной безопасности, которые решили участвовать в нашей Программе Bug Bounty, денежное вознаграждение за информацию об уязвимостях нашей системы, которая может помочь нам лучше защитить наших пользователей. Размер вознаграждения составляет €50 за каждую уязвимость, переданную нам и подтвержденную нашей командой разработчиков.
Вознаграждение получает только первый человек, сообщивший об определенной уязвимости. Повторные обращения по поводу той же проблемы вознаграждены не будут.
Масштаб
Тестировать систему на уязвимости допускается лишь из-под учетной записи клиента LiveAgent, владельцем которой Вы являетесь, либо из-под учетной записи сотрудника клиента LiveAgent, которому владельцем учетной записи клиента было дано разрешение на проведение такого тестирования. К примеру:
- *ваш-домен*.ladesk.com
Мы готовы выплачивать вознаграждение за обнаружение следующих типов уязвимостей:
- Удаленное выполнение кода (RCE)
- Внедрение (инъекция) SQL-кода
- Сломанная аутентификация
- Сломанное управление сессиями
- Обход контроля доступа
- Межсайтовый скриптинг (XSS)
- Межсайтовая подделка запроса (CSRF)
- Уязвимости типа Open Redirect
- Обратный путь в каталогах
Не вознаграждаются отчеты о ситуациях, когда злоумышленник, обладая правами администратора в отношении своей собственной учетной записи, может угрожать лишь ее безопасности. XSS, запущенный администратором, не может претендовать на получение вознаграждения.
Для того чтобы претендовать на получение вознаграждения, уязвимость должна присутствовать в последнем публично доступном релизе (включая официально опубликованные бета-релизы) программного комплекса. Учитываются только уязвимости в безопасности. Мы будем рады, если наши пользователи будут сообщать нам и об иных ошибках по соответствующим каналам связи, но, поскольку целью данной программы является устранение уязвимостей в безопасности, только ошибки, ведущие к таким уязвимостям, могут претендовать на получение вознаграждения. Ошибки другого рода могут быть приняты, но это исключительно на наше усмотрение.
Инструкции
Для того чтобы претендовать на получение вознаграждения в рамках настоящей программы раскрытия уязвимостей, пожалуйста, следуйте следующим инструкциям:
- Не удаляйте и не модифицируйте безвозвратно данные, хранящиеся в системе LiveAgent.
- Не используйте полученный в результате уязвимости доступ к непубличным данным LiveAgent целенаправленно и большей мере, чем это необходимо для демонстрации этой уязвимости.
- Не подвергайте наши внутренние или внешние сервисы DDoS-атакам или иным способам их нарушить, прервать или замедлить.
- Не передавайте любым третьим лицам полученную в системе LiveAgent конфиденциальную информацию, в том числе (но не ограничиваясь этим) платежную информацию клиентов и дарителей.
- Социальная инженерия не входит в список вознаграждаемых уязвимостей. Не нужно направлять кому бы то ни было, включая сотрудников, клиентов, поставщиков или партнеров Quality Unit, фишинговые письма или применять иные методы социальной инженерии.
Вдобавок к сказанному, пожалуйста, дайте нам, как минимум 90 дней на то, чтобы исправить уязвимость, прежде чем публично обсуждать или размещать информацию о ней. Наша команда согласна с тем, что специалисты по обнаружению уязвимостей вправе публиковать свои исследования, и что раскрытие такой информации очень полезно. Мы понимаем, что вопрос о том, когда и какую информацию следует скрывать, чтобы не допустить противоправного и злонамеренного использования информации об уязвимости, – это вопрос очень щепетильный. Поэтому, если Вы считаете, что опубликовать Ваше открытие следует как можно раньше, дайте нам знать, и мы сможем обсудить этот вопрос.
Журнал изменений
В нашем журнале изменений мы официально публикуем информацию обо всех устраненных уязвимостях в сфере безопасности. Изменения, связанные с безопасностью, помечены тегом [Security] (Безопасность).
HackerOne: 10 лучших публичных программ поощрения ошибок за 2020 год
HackerOne, компания, которая проводит программы по выявлению ошибок для некоторых из крупнейших компаний мира, опубликовала сегодня свой рейтинг 10 самых успешных программ, размещенных на ее платформе.
Рейтинг основан на общем количестве наград, присуждаемых хакерам каждой компанией по состоянию на апрель 2020 года.
Список HackerOne за 2020 год является вторым изданием этого рейтинга, первое из которых было опубликовано в прошлом году.Рейтинг Top 10 2019 года был следующим: (1) Verizon Media, (2) Uber, (3) PayPal, (4) Shopify, (5) Twitter, (6) Intel, (7) Airbnb, (8) Ubiquiti Networks, ( 9) Valve и (10) GitLab.
В 2020 году в топ-10 произошли некоторые сдвиги, но лидер остался прежним, а Verizon Media по-прежнему удерживает позицию на вершине и запускает самую успешную программу вознаграждения за ошибки на HackerOne.
1) Verizon Media
Рейтинг 2019: # 1 (-)
Verizon Media — бесспорный лидер в самой активной и успешной программе вознаграждения за ошибки, размещенной на платформе HackerOne.За год Verizon Media более чем вдвое увеличила сумму вознаграждений, присуждаемых исследователям в области безопасности, с 4 миллионов долларов до более чем 9,4 миллионов долларов в этом году, в общей сложности 5,4 миллиона долларов, присужденных за год.
В настоящее время Verizon Media занимает первое место по количеству выплаченных вознаграждений за все время (более 9,4 миллиона долларов), первое место по количеству хакеров, которых компания поблагодарила (1315), и первое место по количеству исправленных сообщений об ошибках (5928). Кроме того, одна из наград Verizon Media bug bounty также входит в пятерку крупнейших выплат, когда-либо выдаваемых на HackerOne, с наградой в размере 70 000 долларов, врученной удачливому исследователю.
2) Paypal
Рейтинг 2019: # 3 (+1)
Несмотря на запуск одной из самых последних программ на HackerOne, зарегистрированной только в августе 2018 года, Paypal полностью зарекомендовал себя как одна из самых активных компаний на платформе, выплачивая почти 2,8 миллиона долларов за последние два года и 1,62 миллиона долларов за последний год.
3) Uber
Рейтинг в 2019 году: # 2 (-1)
С момента создания рейтинга в прошлом году служба безопасности Uber выделила 620000 долларов США в виде вознаграждений за ошибки, в результате чего общая сумма вознаграждения компании на HackerOne с момента запуска программы составила 2415000 долларов США. движение в декабре 2014 года.
В настоящее время программа вознаграждений за ошибки Uber также входит в пятерку самых благодарных хакеров, пятерку самых решенных сообщений и пятерку самых высоких рейтингов выплачиваемых вознаграждений.
4) Intel
Рейтинг в 2019 году: # 6 (+2)
Intel поднялась на две позиции в рейтинге 2020 года после того, как за последние 12 месяцев компания выплатила исследователям более 1 миллиона долларов в виде вознаграждений за обнаружение ошибок.
Хотя сумма никогда не разглашалась, Intel также выплатила самую высокую награду за ошибки, когда-либо выплачиваемую на платформе HackerOne, с суммой, которая, как полагают, составляет где-то между 100000 и 200000 долларов за уязвимость побочного канала, влияющую на архитектуру его процессоров.
5) Twitter
Рейтинг в 2019 году: # 5 (-)
С одной из старейших программ на HackerOne, запущенной в мае 2014 года, Twitter выплатил более 1 288 000 долларов исследователям безопасности, из которых 118 000 распространено за последние 12 месяцев.
6) GitLab
Рейтинг 2019: # 10 (+4)
В 2020 году платформа хостинга кода GitLab поднялась с 10 на 6 место в рейтинге этого года. За последние 12 месяцев компания выплатила более 641 000 долларов исследователям в области безопасности, в результате чего общая сумма выплат составила 1 211 000 долларов.
Компания также имеет одно из самых быстрых откликов на HackerOne, отвечая исследователям безопасности в среднем в течение часа на новые сообщения об ошибках.
7) Mail.ru
Рейтинг в 2019 году: 14 (+7)
Российский почтовый сервис Mail.ru, попавший в первую десятку HackerOne, зафиксировал самый большой скачок в рейтинге в этом году. За последние 12 месяцев компания выплатила более 819000 долларов в виде вознаграждений за ошибки, чтобы получить общую выплату в 1119000 долларов с момента регистрации на платформе в апреле 2014 года.
В настоящее время программа Bug Bounty Mail.ru также входит в пятерку самых благодарных хакеров (973 хакера поблагодарили) и в пятерку самых популярных сообщений (3 333 разрешенных сообщения).
8) GitHub
Рейтинг 2019: 11 (+3)
Еще одна программа, которая была очень активной в течение последних 12 месяцев, — это GitHub. Компания заплатила более 467000 долларов исследователям в области безопасности за ошибки, обнаруженные за последние 12 месяцев, в результате чего общая сумма ее программы составила 987000 долларов с момента ее запуска в апреле 2016 года.
9) Valve
Рейтинг 2019: 9 (-)
Valve сохранила свое место в Топ-10 в этом году, оставшись на позиции # 9. За последние 12 месяцев компания выплатила дополнительно 381 000 долларов в виде вознаграждений охотникам за ошибками, увеличив их общую сумму до 951 000 долларов с момента запуска своей программы на HackerOne в октябре 2017 года.
10) Airbnb
Рейтинг 2019: 7 (-3)
Несмотря на то, что за последние 12 месяцев Airbnb выделила более 344 000 долларов в виде вознаграждений за устранение ошибок, этого было недостаточно для того, чтобы Airbnb удерживал седьмое место с прошлого года.В 2020 году компания заняла 10-е место после того, как с февраля 2015 года выплатила более 944 000 долларов в виде вознаграждений за устранение ошибок.
Программа вознаграждения за ошибки
Условия программы Intel® Bug Bounty
Безопасность — сотрудничество
Корпорация Intel считает, что налаживание отношений с исследователями безопасности и стимулирование исследований в области безопасности является важной частью нашего обязательства Security First .Мы призываем исследователей в области безопасности сотрудничать с нами, чтобы уменьшить и координировать раскрытие потенциальных уязвимостей в системе безопасности.
Сообщение об ошибке
Перед отправкой отчета ознакомьтесь с настоящими Условиями программы Bug Bounty. Отправляя отчет, вы соглашаетесь с условиями программы Intel Bug Bounty.
Если вы будете соблюдать условия программы, мы не будем возбуждать против вас судебный процесс или расследование правоохранительных органов в ответ на ваше сообщение. Пожалуйста, поймите, что этот отказ не распространяется на ваше исследование безопасности, которое касается сетей, систем, информации, приложений, устройств, продуктов или услуг другой стороны (которая не является Intel).Мы не можем и не разрешаем проведение исследований в области безопасности от имени других лиц.
Важно : Чтобы сообщить о потенциальной проблеме безопасности или уязвимости в продукте или технологии под брендом Intel , отправьте отчет по электронной почте в Intel PSIRT ([email protected]). Пожалуйста, зашифруйте все сообщения электронной почты, содержащие информацию о потенциальных уязвимостях безопасности, с помощью открытого ключа Intel PSIRT PGP. Если у вас возникли проблемы с шифрованием отчета об уязвимостях или возникли вопросы по этому процессу, отправьте сообщение в Intel PSIRT (secure @ intel.com). Мы будем работать с вами, чтобы определить метод безопасной передачи вашего отчета об уязвимости.
В отчете просьба указать следующую информацию
- Название (я) продукта или технологии Intel и соответствующая информация о версии.
- Подробное описание потенциальной уязвимости системы безопасности.
- Proof-of-concept, в котором подробно описано воспроизведение потенциальной уязвимости системы безопасности.
Чем больше подробностей будет представлено в первоначальном отчете, тем легче Intel будет оценить ваш отчет.
Примечание: Intel использует платформу HackerOne для администрирования платежей по программе Intel Bug Bounty
Критерии отбора исследователей и репортеров в области безопасности
Для участия в программе Bug Bounty должны быть выполнены все критерии.
- Вы подаете отчет в своем личном качестве или, если вы работаете в компании или другом юридическом лице и отчитываетесь от имени своего работодателя, у вас есть письменное согласие работодателя на отправку отчета в программу Intel Bug Bounty.
- Вам исполнилось 18 лет, и, если вы считаете себя несовершеннолетним по месту жительства, у вас есть разрешение родителей или законного опекуна до подачи заявления.
- Вы не являетесь резидентом страны, на которую действует эмбарго правительства США.
- Вы не находитесь в списке лиц, подпадающих под санкции правительства США.
- В настоящее время вы не являетесь и не являлись сотрудником корпорации Intel или ее дочерней компании в течение 6 месяцев до отправки отчета.
- В настоящее время вы не заключили и не заключили контракт с Intel Corporation или дочерней компанией Intel в течение 6 месяцев до отправки отчета.
- Вы не являетесь ни членом семьи, ни членом домашнего хозяйства какого-либо лица, которое в настоящее время или в течение последних 6 месяцев соответствует критериям, перечисленным в двух пунктах, указанных выше.
- Вы соглашаетесь участвовать в тестировании эффективности смягчения последствий и координировать раскрытие / выпуск / публикацию вашего вывода с Intel.
- Вы не имели и не будете получать доступ к какой-либо личной информации, которая не принадлежит вам, в том числе путем использования уязвимости.
- Вы не нарушали и не будете нарушать какие-либо применимые законы или постановления, включая законы, запрещающие несанкционированный доступ к информации. Чтобы уточнить, Intel не рассматривает тестирование, которое проводится в соответствии с условиями этой программы поощрения ошибок, как несанкционированное.
- Могут быть дополнительные ограничения на ваше право участвовать в программе вознаграждения за обнаружение ошибок в зависимости от вашего местного законодательства.
Если на каком-либо этапе исследования уязвимости вы не уверены, следует ли продолжать, немедленно отправьте сообщение в Intel PSIRT ([email protected]).
Конфиденциальная и личная информация
Никогда не пытайтесь получить доступ к чьим-либо данным или личной информации, в том числе используя уязвимости. Такая деятельность является несанкционированной. Если во время тестирования вы взаимодействовали или получили доступ к данным или личной информации других лиц, вы должны:
- Немедленно остановите тестирование и прекратите любую деятельность, которая связана с данными, личной информацией или уязвимостью.
- Запрещается сохранять, копировать, хранить, передавать, раскрывать или иным образом сохранять данные или личную информацию.
- Немедленно сообщите в Intel и поддержите наши усилия по расследованию и устранению последствий.
Несоблюдение любого из вышеперечисленных требований немедленно лишает любой отчет права на вознаграждение за вознаграждение.
Допустимые отчеты (в объеме)
Чтобы иметь право на рассмотрение вознаграждения за вознаграждение, ваш отчет должен соответствовать следующим требованиям:
- Отчет и любые сопроводительные материалы, отправленные в Intel, были зашифрованы с помощью открытого PGP-ключа Intel PSIRT.
- Продукты Intel в вашем отчете соответствуют пункту, явно указанному ниже как «Участвующие продукты и технологии под маркой Intel».
- Уязвимость, которую вы определяете, должна быть оригинальной, о ней ранее не сообщалось в Intel и не разглашалась публично.
- Отчет должен показать, что потенциальная уязвимость была продемонстрирована в отношении самой последней общедоступной версии уязвимого продукта или технологии.
Отчет должен содержать четкую документацию, в которой указывается следующее:
- Обзор / сводка обнаруженной уязвимости и потенциального воздействия.
- Подробное объяснение обнаруженной уязвимости, способы ее использования, влияние успешно использованной уязвимости и вероятность успешного использования.
- Название и конкретная версия продуктов Intel, в которых сообщается о потенциальной уязвимости.
- Proof of Concept (POC) — код или инструкции, которые явно демонстрируют использование указанной уязвимости. POC должен включать инструкции, которые, если им будет следовать группа инженеров Intel, успешно продемонстрируют наличие и возможность использования уязвимости.
- Информация о том, как был разработан и скомпилирован любой код Proof of Concept (POC). При необходимости включите описание среды разработки, включая имя компилятора, версию компилятора, параметры, используемые для компиляции, и версии операционной системы.
Соответствующие критериям Продукты и технологии под брендом Intel , которые поддерживаются и распространяются Intel:
- Микропроцессоры (включая ПЗУ микрокода + обновления)
- Наборы микросхем
- Компоненты программируемой вентильной матрицы (ПЛИС)
- Сетевые / коммуникационные компоненты
- Память
- Материнские платы / системы (e.г., Intel Compute Stick, NUC)
- Твердотельные накопители (SSD)
- UEFI BIOS (основные компоненты Tiano, в отношении которых Intel является единственным указанным лицом, обслуживающим)
- Intel® Management Engine
- Контроллер управления основной платой (BMC)
- Драйверы устройств
- Приложения
- Средства разработки
Intel рекомендует сообщать обо всех потенциальных уязвимостях.
Intel может по своему усмотрению отклонить любую заявку, которая, по нашему мнению, не соответствует указанным выше критериям или считается неприемлемой, как указано ниже.
Отчеты, не отвечающие требованиям (вне области)
Ниже приведены общие категории уязвимостей, которых не соответствуют критериям для вознаграждения за вознаграждение:
- Материалы, которые требуют, чтобы злоумышленник физически открыл корпус, в том числе открутив винты или сломав пластиковый корпус (открытое шасси), чтобы получить доступ к внутреннему оборудованию устройства.
- Уязвимости в предварительных версиях продукта (например, Beta, Release Candidate).
- Уязвимости в версиях продукта больше не находятся под активной поддержкой.
- Уязвимости, уже известные Intel. Однако, если вы первый внешний исследователь безопасности, который обнаружил и сообщил о ранее известной уязвимости, вы все равно можете иметь право на вознаграждение.
- Уязвимости присутствуют в любом компоненте продукта Intel, где основная причина уязвимости в компоненте уже идентифицирована для другого продукта Intel.
- Уязвимости в продуктах и технологиях, которые не указаны как «Соответствующие продукты и технологии под брендом Intel», включая уязвимости, выходящие за рамки, как определено ниже.
Любое поведение исследователя безопасности или репортера, которое кажется незаконным, злонамеренным или преступным по своему характеру, немедленно приведет к исключению любых материалов из программы. Не занимайтесь вымогательством.
Bug Bounty Awards
Право на получение вознаграждения за обнаружение ошибок и определение суммы вознаграждения принимаются Intel по собственному усмотрению. Вот некоторые общие рекомендации, которые могут отличаться от опубликованной документации:
- на основе потенциального воздействия уязвимости безопасности
- для хорошо написанных отчетов с полными инструкциями по воспроизведению / доказательством концепции (PoC).См. Требования к приемлемым отчетам выше.
- , если предлагается функциональное смягчение или исправление вместе с сообщенной уязвимостью.
- Корпорация Intel присудит награду за первое отвечающее критериям сообщение об уязвимости системы безопасности.
- Награды ограничены одним (1) вознаграждением за каждую подходящую первопричину уязвимости.
- Intel присудит вознаграждение в размере от 500 до 100 000 долларов США в зависимости от типа уязвимости и оригинальности, качества и содержания отчета.
- Intel публично признает награжденных исследователей безопасности через Intel Security Advisories во время или после публичного раскрытия уязвимости в координации с исследователем безопасности, сообщившим об уязвимости.
- Суммы премий могут меняться со временем. Прошлые награды не обязательно гарантируют такую же награду в будущем.
График вознаграждений
Каждый отчет об ошибке оценивается индивидуально на основе технических деталей, представленных в отчете.Корпорация Intel обычно следует приведенным ниже процедурам для оценки и определения серьезности обнаруженной потенциальной уязвимости системы безопасности.
- Оценка уязвимости — Intel PSIRT гарантирует, что вся запрошенная информация предоставлена для сортировки. Список необходимой информации см. В разделе «Отчеты об ошибках» выше.
- Triage — Группа инженеров по продуктам и экспертов по безопасности Intel определит, является ли уязвимость действительной и затронуты ли соответствующие продукт или технология Intel.
- Определение серьезности уязвимости — Intel PSIRT работает с инженерами Intel по безопасности продуктов и экспертами Intel по безопасности, чтобы определить серьезность и влияние уязвимости.
Награды Intel bug bounty варьируются от 500 до 100 000 долларов. При определении суммы вознаграждения для соответствующих отчетов мы принимаем во внимание ряд факторов. Эти факторы включают, помимо прочего, качество отчета, влияние потенциальной уязвимости, оценку серьезности CVSS, предоставление POC и качество POC, тип уязвимости.В таблице ниже приведены общие сведения о возможных суммах вознаграждения. Однако награды могут варьироваться в зависимости от факторов, упомянутых выше.
Список программ Bug Bounty 2020 Международный 537+ Официальный
[СПИСОК ПРОГРАММ ПОДАЧИ ОШИБКИ 2020]
Список программ вознаграждений за ошибки, системы вознаграждений и благодарности за безопасность
«Список вознаграждений за ошибки» или список программ вознаграждения за ошибки влияет на более чем 538+ международных программ безопасности по всему миру.Коммерческие программы, такие как bug bounty или система вознаграждений, но также и регулярные подтверждения безопасности. В таблице представлены 5 категорий элементов. Первый список показывает последние 15 записей, а второй список показывает полный список программ вознаграждения за ошибки. Не стесняйтесь присылать нам новые обновления, отзывы и вносить свой вклад в общедоступный список программ вознаграждения за обнаружение ошибок, подтверждения безопасности или поощрительных программ.
Контакт: [ EMAIL ] [PGP KEY]
Статистика программ безопасности
Последнее обновление | Государственные программы | Эксклюзивные программы | Тихие программы | Премиальные программы |
2021-03-07 | 538 | 4 | 1 | 177 |
Последние 15 — Новые общественные и тихие программы безопасности
Список программ Bug Bounty — общедоступные и скрытые программы безопасности
Авторские права, разрешения и товарные знаки
Все изображения, тексты, рекомендации, исходные коды, ресурсы, видео и другая информация на веб-сайте лаборатории уязвимостей являются товарным знаком компании evolution security gmbh и конкретных авторов, производителя или команды менеджеров.Для записи, общедоступного списка (подача / авто), изменения, использования общедоступной демонстрации, копирования или редактирования наших материалов свяжитесь с администраторами или менеджерами программы для получения разрешения.
Лаборатория уязвимостей — Программа исследования уязвимостей (ЕС)
www.vulnerability-lab.com или www.vuln-lab.com
Bug Bounty Radar // Последние программы выявления ошибок на ноябрь 2020 г.
Новые веб-мишени для проницательного хакера
В этом месяце мы встретились с Томми ДеВоссом, который в подростковом возрасте сменил свою черную шляпу на белую после тюремного заключения за взлом правительственных и военных активов США.
«Я осужденный в черной шляпе и проведу остаток своей жизни в тюрьме, если снова [перейду закон]», — говорит он в проницательном и интересном интервью.
Один из очень немногих хакеров, сломавших 1 доллар Миллионная награда, ДеВосс говорит, что его любимая ошибка — это подделка запросов на стороне сервера (SSRF), но в настоящее время он ищет работу, «потому что мне скучно и я скучаю по работе с людьми».
Для начинающих хакеров он рекомендует программу раскрытия информации Министерства обороны США: к сожалению, никаких премий, но «это прекрасное место для изучения различных архитектур и стеков разработки, чтобы начать поиск ошибок».
Согласно программным новостям, исследователь безопасности Google был исключен из Call of Duty: Modern Warfare после реинжиниринга его сетевого кода в поисках уязвимостей, вызывающих повреждение памяти.
«Как пользователь, я думаю, что должен иметь возможность исследовать уязвимости, когда я могу подвергаться риску», — говорит он.
А еще есть интрига в программе Internet Bug Bounty, где PHP был бесцеремонно исключен из списка целей. Разработчики языка сценариев говорят, что они никогда не участвовали в программе, и что отчеты об уязвимостях могут быть сделаны с помощью собственных ошибок.php.net.
В новостях о выплатах исследователь Project Zero Феликс Вильгельм сообщил о недостатке в конструкции Actions, платформы управления рабочими процессами GitHub, которая может дать злоумышленникам доступ для записи в репозитории и раскрыть зашифрованные секреты.
Тем временем исследователь безопасности Педро Оливейра получил 5000 долларов за обнаружение уязвимости в мобильной версии Firefox, которая открывала злоумышленникам доступ к локальным файлам жертв, если они посещали специально созданную веб-страницу.
И Ethereum Foundation увеличивает свои награды в преддверии запуска Ethereum 2.0, теперь охотники за ошибками могут заработать до 50 000 долларов за критические уязвимости (подробности см. Ниже).
И, наконец, награда другого типа от Binance. Криптовалютная биржа присудила 200000 долларов команде анонимных следователей после того, как они идентифицировали хакера, которому позже было предъявлено обвинение в фишинговой кампании 2018 года.
Последние программы поощрения ошибок за ноябрь 2020 г.
В ноябре появилось несколько новых программ поощрения ошибок. Вот список последних записей:
Avast — расширенный
Поставщик программы:
Независимый
Тип программы:
Public bug bounty
Максимальное вознаграждение:
n / a
Outline:
Специалист по антивирусам Avast выпустил обновленную версию программа выявления ошибок с «простыми правилами и дополнительными функциями».В частности, компания заинтересована в полевых отчетах об уязвимостях, ведущих к удаленному выполнению кода (RCE), повышению привилегий, отказу в обслуживании и обходам антивирусного сканирования.
Примечания:
Avast не установил верхний предел суммы выплат, хотя поставщик заявил, что заплатит минимум 400 долларов за действительный отчет. Об ошибках безопасности, влияющих на зависимости сторонних разработчиков, можно сообщать на отдельной странице компании по согласованному раскрытию уязвимостей.
Посетите страницу Avast bug bounty для получения дополнительной информации
Basecamp
Поставщик программы:
HackerOne
Тип программы:
Public bug bounty
Максимальная выплата:
$ 10 000
Схема:
Диверсифицированная технологическая компания Basecamp взяла на себя частная программа вознаграждения за ошибки публичная, при этом компания обещает вознаграждение в размере до 10 000 долларов за критические уязвимости, воздействующие на ее одноименное программное обеспечение для управления проектами и Hey.com почтовый сервис.
Примечания:
«Наше внимание уделяется строгой аутентификации (вход в систему, сеансы, OAuth, восстановление учетной записи), контролю доступа (обходы, сбои, CSRF) и предотвращению инъекций (SQL, XSS)», — заявили в компании. «Ваше внимание полностью зависит от вас».
Посетите страницу вознаграждения за ошибку Basecamp на сайте HackerOne для получения дополнительной информации
Ethereum 2.0 — расширенный
Поставщик программы:
Independent
Тип программы:
Public bug bounty
Максимальное вознаграждение:
$ 50 000
Схема:
Ethereum 2.0 программа вознаграждений за ошибки увеличила вознаграждение для исследователей, которые представляют достоверные отчеты об уязвимостях перед переходом платформы блокчейн к модели Proof-of-Stake.
Примечания:
Охотники за ошибками могут заработать до 50 000 долларов за критические уязвимости в горячо ожидаемом обновлении Ethereum 2.0. Панель вознаграждений за ошибки Ethereum Foundation будет принимать решение о выданном финансовом вознаграждении и будет опираться на модель риска OWASP при принятии решений.
Посетите страницу вознаграждения за ошибку Ethereum для получения дополнительной информации
Exodus
Поставщик программы:
HackerOne
Тип программы:
Награда за общедоступную ошибку
Максимальное вознаграждение:
$ 10 000
Схема:
Еще одна новая запись вознаграждения за ошибку в криптовалюте space в этом месяце — Exodus, которая разрабатывает настольные, мобильные и аппаратные криптокошельки.Проблемы, относящиеся к сфере охвата, включают технические уязвимости или проблемы, связанные с безопасностью, в любых активах компании, подключенных к Интернету, а также проблемы в настольном кошельке.
Примечания:
«Наша цель номер один — гарантировать, что средства наших кошельков никогда не будут подвергаться риску», — заявили в компании. «Поскольку наш кошелек в основном основан на программном обеспечении, мы надеемся, что сообщество специалистов по безопасности может помочь».
Посетите страницу вознаграждения за ошибку Exodus на сайте HackerOne, чтобы получить дополнительную информацию.
Hotbit
Поставщик программы:
HackenProof
Тип программы:
Public bug bounty
Максимальное вознаграждение:
1500 долларов США
Схема:
Торговая платформа криптовалюты Hotbit is просят исследователей безопасности исследовать его веб-сайт, REST API и мобильные приложения на предмет уязвимостей.Организация предлагает вознаграждение в размере до 1500 долларов за критические ошибки и до 100 долларов за незначительные проблемы.
Примечания:
Исследователей попросили избегать использования сканеров безопасности веб-приложений для автоматического поиска уязвимостей, которые генерируют «массовый трафик».
Посетите страницу вознаграждения за обнаружение ошибок Hotbit на сайте HackenProof, чтобы получить дополнительную информацию.
Netlify
Поставщик программы:
HackerOne
Тип программы:
Публичное вознаграждение за обнаружение ошибок
Максимальное вознаграждение:
2000 долларов США
Схема:
Netlisco. — компания, предоставляющая облачные услуги, предоставляющая услуги хостинга и бессерверных серверных приложений для веб-приложений и статических веб-сайтов.
Примечания:
Включаются app.netlify.com и api.netlify.com, критические недостатки которых привлекают вознаграждение в размере 2000 долларов США, а находки высокой степени серьезности, приносящие охотникам за ошибками 1000 долларов США.
Посетите страницу вознаграждения за ошибку Netlify на сайте HackerOne для получения дополнительной информации
WhiteBIT
Поставщик программы:
Independent
Тип программы:
Public bug bounty
Максимальное вознаграждение:
$ 1,500
Схема:
Обмен криптовалюты WhiteBIT с более чем 300 000 пользователей в Европе, Азии и странах СНГ предлагает 1500 долларов за критические уязвимости.
Примечания:
Допустимые цели включают два веб-сайта, API компании и приложения для Android и iOS.
Посетите страницу вознаграждения за ошибку WhiteBIT для получения дополнительной информации
Xilinx
Поставщик программы:
HackerOne
Тип программы:
Общественная награда за ошибку
Максимальное вознаграждение:
$ 5000
Описание:
Производитель интегральных схем Xilinx открыл его двери для сообщества исследователей безопасности, запустив новую программу вознаграждения за ошибки через HackerOne.
Примечания:
Эта программа относится только к проектам компании Bootgen и Xilinx Runtime (XRT). «Примеры продуктов, не входящих в перечень, включают… BootROM, u-boot, FSBL, PetaLinux, веб-сайты, принадлежащие Xilinx, микросхему Xilinx, аппаратные ускорители и QEMU, используемые для обеспечения безопасности», — сказал производитель.
Посетите страницу вознаграждения за обнаружение ошибок Xilinx на сайте HackerOne, чтобы получить дополнительную информацию.
Yoti
Поставщик программы:
HackerOne
Тип программы:
Public bug bounty
Максимальное вознаграждение:
$ 3,000
Outline:
Запуск мобильной аутентификации Yoti запустила новую программу раскрытия уязвимостей.Компания предлагает выплаты до 3000 долларов за скоординированное обнаружение уязвимостей в своих приложениях для iOS и Android, серверных службах и веб-сайтах.
Примечания:
Группа безопасности Yoti попросила исследователей избегать тестирования URL-адреса «бесплатной пробной версии», так как некоторые известные проблемы с этой конечной точкой в настоящее время проверяются.
Посетите страницу вознаграждений за ошибки Yoti на сайте HackerOne, чтобы получить дополнительную информацию.
Другие сообщения об ошибках и новости VDP:
- Третья итерация программы вознаграждений за ошибки Министерства обороны США Hack the Army должна начаться 14 декабря и будет продолжаться до 14 января 2021 года.
- Secure Code Warrior запустил миссии — серию практических интерактивных симуляций кодирования реальных приложений, которые побуждают разработчиков испытать на себе влияние плохих практик кода в безопасной среде.
- RMS, Jimdo, ImpressCMS, Navient Solutions и Mendix запустили (неоплаченные) VDP на HackerOne.
- Выступая на ПЕРВОЙ ежегодной конференции в этом месяце, Бен Хоукс из Project Zero подтвердил, что элитная группа безопасности Google создаст панель прогнозов «хрустального шара», чтобы помочь улучшить процесс раскрытия уязвимостей.
- Общество плоских сетей имеет открытый исходный код CTFNote, инструмент для совместной работы, цель которого — помочь командам «поймать флаг» в организации своей работы. Ознакомьтесь с репозиторием GitHub для получения полной информации.
- Европейская платформа вознаграждения за ошибки Intigriti получила награду Deloitte 2020 Rising Star за самый многообещающий технологический стартап в Бельгии. «Мы невероятно гордимся тем, что получили это звание», — сказал генеральный директор Стейн Янс.
Чтобы в следующем месяце ваша программа была включена в этот список, отправьте электронное письмо по адресу dailyswig @ portswigger.net, указав в теме письма «Bug Bounty Radar».
Вступительное слово Эммы Вуллакотт. Дополнительный отчет Адама Баннистера.
ПОДРОБНЕЕ Bug Bounty Radar // Октябрь 2020
Безопасность GitHub — Bug Bounty на GitHub
Наши группы безопасности и разработки принимают во внимание множество факторов при определении вознаграждения. Эти факторы включают сложность успешного использования уязвимости, потенциальную уязвимость, а также процент затронутых пользователей и систем.Иногда критическая уязвимость оказывает очень незначительное влияние просто потому, что ее устраняет какой-либо другой компонент, например требует взаимодействия с пользователем, непонятного веб-браузера или может быть объединена с другой уязвимостью, которая в настоящее время не существует. Кроме того, по крайней мере, два инженера по безопасности GitHub согласовывают серьезность и сумму до того, как будет произведена выплата.
Вы, безусловно, можете прикрепить видео, если считаете, что оно прояснит вашу заявку.Однако все материалы должны также включать пошаговые инструкции по воспроизведению ошибки. Команда безопасности сообщит вам, если мы думаем, что видео прояснит ваш отчет. Заявки, которые включают только шаги воспроизведения видео, будут иметь более длительное время ответа, и мы можем закрыть вашу заявку как Неприменимо
.
Вы можете получить ответ от бота.Бот выполняет некоторую работу за нас, но только тогда, когда мы об этом говорим. Мы в GitHub Security «делаем свои собственные трюки». Инженер по безопасности приложений на GitHub проверяет каждую отправку. В большинстве случаев мы используем бота для автоматизации обмена сообщениями и других задач. Будьте уверены, человек действительно просмотрел ваше сообщение.
GitHub предназначена как для поощрения отдельных исследователей, так и для повышения безопасности всех пользователей GitHub.Мы не считаем, что раскрытие уязвимостей GitHub третьим сторонам позволяет достичь любой из этих целей. В результате любые уязвимости, раскрытые третьим лицам перед отправкой в нашу программу, не имеют права на получение вознаграждения.
Мы не только даем исследователям деньги, но и пытаемся развлечься. Мы присваиваем баллы каждой уязвимости и перечисляем ее на этом сайте. Исследователи, набравшие наибольшее количество баллов, перечислены в нашей таблице лидеров.Хотя мы используем многие из тех же показателей при определении балльной стоимости, что и для долларовой стоимости, мы также принимаем во внимание другие нематериальные факторы. Например, если вы предоставите отличное описание уязвимости с функциональным POC, которое будет учтено.
Пожалуйста, присылайте нам свою уязвимость! Мы опубликуем вашу заявку только после вашего одобрения.Чтобы быть видимым в таблице лидеров, вы должны предоставить нам имя пользователя GitHub. Это позволяет нам связывать представления с одним пользователем и создавать страницу вашего профиля.
Мы не всегда обновляем HackerOne с установленной степенью серьезности, потому что мы отслеживаем эту информацию внутри компании. Наши правила выплат и размер вознаграждения определяют нашу оценку серьезности, а не серьезность в HackerOne.
Если вы абсолютно уверены, что шифрование сообщения необходимо, прочтите наши инструкции и предостережения для отправки PGP.
Как отмечено в разделе , выполняющем ваше исследование,
, исследование отказа в обслуживании лучше всего проводить на вашем собственном экземпляре GHES.Вызывать проблему доступности просто бесполезно. Нас интересуют только проблемы отказа в обслуживании на уровне приложений (логические бомбы, ReDoS и т. Д.). Заявки на объемные атаки не подлежат вознаграждению, и мы можем заблокировать вашу учетную запись GitHub или временно заблокировать ваш IP-адрес.
Программа
Security Bug Bounty — Mozilla
Введение
Программа Mozilla Security Bug Bug Bounty предназначена для поощрения исследований в области безопасности программного обеспечения Mozilla и для поощрения тех, кто помогает нам сделать Интернет более безопасным.
Общее право на участие
Для получения вознаграждения по этой программе:
- Ошибка безопасности должна быть оригинальной, о которой ранее не сообщалось. За повторные заявки в течение 72 часов награда будет разделена между репортерами. Если дублирующиеся материалы имеют неравное качество, разделение будет на уровне меньшего отчета, а больший отчет получит пропорциональную дополнительную награду поверх разделения.
- Для проблем в клиентских приложениях существует четырехдневный льготный период, который начинается с регистрации уязвимости в репозитории первичного источника.Если проблема обнаружена внутри компании в течение этих четырех дней, она не имеет права на вознаграждение, даже если проблема не была признана уязвимостью безопасности во время первой идентификации. Если он остается неоткрытым более четырех дней, он получает право на вознаграждение.
- Ошибка безопасности должна быть частью кода Mozilla, а не кода третьей стороны. Мы будем платить вознаграждения за уязвимости в сторонних библиотеках, встроенных в поставляемый клиентский код или сторонние веб-сайты, используемые Mozilla.
- Вы не должны были писать код с ошибками или иным образом участвовать в добавлении кода с ошибками в проект Mozilla.
- Вы должны быть достаточно взрослыми, чтобы иметь право участвовать в этой программе и получать платежи от нее в вашей юрисдикции, или иным образом иметь право на получение платежа, будь то с согласия вашего родителя или опекуна или каким-либо иным образом.
- Вы не должны быть сотрудником, подрядчиком или иным образом иметь деловые отношения с Mozilla Foundation или любой из ее дочерних компаний.
- Вы должны делать все возможное, чтобы не получать, не изменять, не удалять и не хранить данные пользователя или данные Mozilla. Вместо этого используйте свои собственные учетные записи или тестовые учетные записи для целей исследования безопасности.
- Если вы случайно получаете доступ, изменяете, удаляете или сохраняете данные пользователя, мы просим вас немедленно уведомить Mozilla по адресу [email protected] и удалить все сохраненные данные после уведомления нас.
- Вы не должны находиться в санкционном списке США или находиться в стране (например, Куба, Иран, Северная Корея, Крымский регион Украины, Судан и Сирия) в санкционном списке США.
- Вы не должны использовать уязвимость системы безопасности для собственной выгоды.
- Прежде чем поделиться какой-либо частью проблемы безопасности с третьей стороной, вы должны дать нам разумное количество времени для решения проблемы безопасности.
- Все представленные материалы будут подпадать под условия использования веб-сайта и коммуникаций Mozilla, что дает нам разрешение на использование всех представленных материалов.
- Все материалы также должны соответствовать Политике этикета Bugzilla. Bugzilla может автоматически отключать учетные записи, если отправлено слишком много ошибок, помеченных как недопустимые; в этом случае вы можете связаться с security @ mozilla.org; однако имейте в виду, что слишком большое количество недействительных материалов может привести к уменьшению выплат при обнаружении любых допустимых ошибок. Обращайтесь к нам за советами, как улучшить качество вашей отправки.
Баунти могут быть пожертвованы на благотворительность, пожалуйста, укажите это в сообщении об ошибке при регистрации или связавшись с [email protected].
Не угрожайте и не пытайтесь вымогать Mozilla. Мы не будем назначать вознаграждение, если вы угрожаете скрыть от нас проблему безопасности или если вы угрожаете опубликовать уязвимость или любые открытые данные.
Safe Harbor
Mozilla решительно поддерживает исследования безопасности наших продуктов и хочет поощрять эти исследования.
В результате мы не будем угрожать или возбуждать какие-либо судебные иски против тех, кто добросовестно пытается соблюдать эту программу Bug Bounty, или за любое случайное или добросовестное нарушение этой политики. Это включает в себя любые претензии согласно DMCA об обходе технологических мер по защите сервисов и приложений, подпадающих под действие этой политики.
Если вы соблюдаете эту политику:
- Мы считаем ваше исследование безопасности «санкционированным» в соответствии с Законом о компьютерном мошенничестве и злоупотреблении,
- Мы отказываемся от любых ограничений в наших применимых Условиях обслуживания и Политике допустимого использования, которые запрещают ваше участие в этой политике, для ограниченной цели вашего исследования безопасности в соответствии с этой политикой.
Мы понимаем, что многие системы и службы Mozilla связаны со сторонними системами и службами.Хотя мы можем разрешить ваше исследование систем и служб Mozilla и обещать, что Mozilla не будет возбуждать или угрожать судебным разбирательством против вас за ваши усилия в соответствии с этой политикой, мы не можем санкционировать усилия в отношении сторонних продуктов или гарантировать, что они не будут возбуждать судебные иски против ты. Однако, если третья сторона угрожает или возбуждает судебный иск против вас за ваши усилия в соответствии с этой политикой, мы готовы дать ясно понять — суду, общественности или иным лицам — что мы санкционировали ваши усилия по тестированию и исследованию безопасности. соответствующих критериям систем и услуг Mozilla.
Если вы не уверены, соответствует ли ваше поведение этой политике, сначала свяжитесь с нами по адресу [email protected], и мы сделаем все возможное, чтобы уточнить это.
Интернет и клиент
Mozilla управляет двумя разными программами поощрения ошибок. Один посвящен Firefox и другим приложениям Mozilla, а другой — нашим веб-сайтам и службам.
правил программы — Безопасность приложений — Google
Мы давно поддерживаем тесные отношения с сообществом исследователей безопасности.В честь
всех передовых внешних вкладов, которые помогают нам обеспечивать безопасность наших пользователей, мы поддерживаем
Программа вознаграждения за уязвимости для веб-ресурсов, принадлежащих Google, работает непрерывно с
Ноябрь 2010 г.
Услуги в объеме
В принципе, любая принадлежащая Google веб-служба, обрабатывающая достаточно конфиденциальные пользовательские данные, является
предназначено быть в рамках. Сюда входит практически весь контент в следующих доменах:
- *.google.com
- * .youtube.com
- * .blogger.com
Ошибки в Google Cloud Platform, разработанные Google
приложения и расширения (опубликованы в Google Play, в
Apple App Store или в
Интернет Chrome
Store), а также некоторые из наших аппаратных устройств (Home, OnHub
и Nest) также подойдут. Ознакомьтесь с нашими наградами для Android и Chrome
Вознаграждения за другие услуги и устройства, которые также входят в сферу действия.
С другой стороны, у программы есть два важных исключения, о которых следует помнить:
- Сторонние веб-сайты. Некоторые сервисы под брендом Google, размещенные в менее распространенных доменах
могут управляться нашими поставщиками или партнерами. Мы не можем уполномочить вас протестировать эти системы.
от имени их владельцев и не будет вознаграждать такие отчеты. Пожалуйста, прочтите мелкий шрифт на
страницу и проверьте записи WHOIS домена и IP-адреса для подтверждения.Если сомневаетесь, обращайтесь к нам
первый! - Недавние приобретения. Чтобы дать время на внутреннюю проверку и исправление, недавно
приобретенные компании подлежат шестимесячному периоду отключения электроэнергии. Об ошибках сообщалось раньше, чем
за это обычно не полагается вознаграждение.
Квалифицирующие уязвимости
Любая проблема дизайна или реализации, которая существенно влияет на конфиденциальность или
целостность пользовательских данных, вероятно, входит в задачу программы.Общие примеры включают:
- Межсайтовый скриптинг,
- Подделка межсайтовых запросов,
- скриптов смешанного содержания,
- Ошибки аутентификации или авторизации,
- Ошибки выполнения кода на стороне сервера.
Новинка! Кроме того, в сферу применения входят важные методологии, связанные со злоупотреблениями.
для этой программы, если в сообщаемом сценарии атаки отображается проблема с дизайном или реализацией
в продукте Google, который может нанести значительный ущерб.
Примером методологии, связанной со злоупотреблениями, может быть метод, с помощью которого злоумышленник может
манипулировать рейтингом объявления на Картах Google, отправив достаточно
большое количество фальшивых отзывов, которые не обнаруживаются нашими системами защиты от злоупотреблений. Однако, сообщая о
конкретный бизнес с вероятным фальшивым рейтингом не будет квалифицирован.
Обратите внимание, что объем программы ограничен техническими уязвимостями в принадлежащих Google
расширения браузера, мобильные и веб-приложения; пожалуйста, не пытайтесь проникнуть в гугл
офисы, попытки фишинговых атак на наших сотрудников и т. д.
Из-за беспокойства о доступности наших услуг для всех пользователей, пожалуйста, не пытайтесь
выполнять DoS-атаки, использовать методы черной SEO, спамить людей или делать другие
аналогично сомнительные вещи. Мы также не рекомендуем использовать какие-либо тесты на уязвимости.
инструменты, которые автоматически генерируют очень значительные объемы трафика.
Неквалифицированные уязвимости
В зависимости от их воздействия, некоторые из сообщенных проблем могут не соответствовать требованиям.Хотя мы рассматриваем
их на индивидуальной основе, вот некоторые из распространенных проблем с низким уровнем риска, которые обычно
не получить денежное вознаграждение:
- Уязвимости в * .bc.googleusercontent.com или * .appspot.com. Эти
домены используются для размещения приложений, принадлежащих клиентам Google Cloud. В
Программа вознаграждения за уязвимости не разрешает тестирование клиента Google Cloud
Приложения. Клиенты Google Cloud могут авторизовать собственное тестирование на проникновение
приложения ( прочт.
more ), но тестирование этих доменов не входит в сферу компетенции и не разрешается
Программа вознаграждения за уязвимости. - Уязвимости межсайтового скриптинга в доменах «песочницы» ( подробнее ). Мы поддерживаем ряд доменов, которые используют одно и то же происхождение.
политика безопасной изоляции определенных типов ненадежного контента; самый выдающийся
пример:* .googleusercontent.com
. Если не повлияет на чувствительного пользователя
данные могут быть продемонстрированы, мы не рассматриваем возможность выполнения JavaScript в этом
домен быть ошибкой. - Выполнение предоставленного владельцем кода JavaScript в Blogger. Блоги размещены в
* .blogspot.com
ничем не отличается от любого стороннего веб-сайта в Интернете. За
вашей безопасности, мы используем средства обнаружения спама и вредоносных программ, но не принимаем во внимание
возможность встраивать JavaScript в свой блог, чтобы быть ошибкой безопасности. - Перенаправление URL ( читать дальше .) Мы признаем, что адресная строка — единственная надежная
индикатор безопасности в современных браузерах; следовательно, мы считаем, что удобство использования и
преимущества безопасности небольшого количества хорошо спроектированных и тщательно контролируемых перенаправителей
перевешивают их истинные риски. - Проксирование и фрейминг легального контента. Мы ожидаем, что наши услуги
однозначно маркировать сторонний контент и выполнять ряд обнаружений злоупотреблений
проверяет, но, как и в случае с перенаправителями, мы считаем, что ценность таких продуктов, как Google
Перевод перевешивает риск. - Ошибки, требующие крайне маловероятного взаимодействия с пользователем. Например,
Ошибка межсайтового скриптинга, требующая от жертвы вручную ввести полезную нагрузку XSS
в Google Maps, а затем дважды щелкните сообщение об ошибке, которое реально может не соответствовать
бар. - Подделка межсайтового запроса выхода из системы ( подробнее .) К лучшему или худшему, конструкция файлов cookie HTTP означает, что
ни один веб-сайт не может предотвратить выход пользователей из системы; как следствие,
способы достижения этой цели, ориентированные на конкретные приложения, скорее всего, не будут подходить.Ты можешь быть
заинтересован в сообщениях личного блога
Крис Эванс и Михал
Залевски для получения дополнительной информации. - Недостатки, влияющие на пользователей устаревших браузеров и плагинов.
модель безопасности сети постоянно дорабатывается. Панель обычно не
вознаграждайте за любые проблемы, которые затрагивают только пользователей устаревших или непропатченных браузеров. В
в частности, мы исключаем Internet Explorer до версии 9. - Наличие баннера или информации о версии. Информация о версии отсутствует,
сам по себе подвергает сервис атакам — поэтому мы не считаем это ошибкой. Который
сказал, если вы обнаружите устаревшее программное обеспечение и есть веские причины подозревать, что оно представляет собой
четко определенный риск безопасности, сообщите нам об этом. - Спуфинг электронной почты в Gmail и группах Google. Мы осознаем риск
представлены поддельными сообщениями, и мы предпринимаем шаги, чтобы фильтр Gmail мог
эффективно бороться с такими атаками. - Перечисление пользователей. Отчеты о перечислении пользователей не входят в
область действия, если вы не можете продемонстрировать, что у нас нет ограничений по скорости для защиты
наши пользователи. - Превышение лимита учетных записей, которые могут быть проверены с помощью данного номера SMS.
Мы часто получаем сообщения о том, что пользователи могут обойти наш лимит SMS для
проверка счетов. На самом деле существует две разные квоты на номер для учетной записи.
подтверждение, одно через «SMS» и другое через «Позвони мне».
Помимо денежного вознаграждения, репортеры уязвимостей, которые работают с нами над устранением ошибок безопасности
в нашей продукции будет занесено в Зал славы. Если мы
сообщить об ошибке внутренней безопасности, мы отметим ваш вклад на этой странице.
Суммы вознаграждения за уязвимости в системе безопасности
Вознаграждение за соответствующие ошибки варьируется от 100 до 31 337 долларов. В следующей таблице представлены
обычные награды выбираются за самые распространенные классы ошибок.Чтобы узнать больше о нашем подходе
Чтобы узнать о наградах за уязвимости, вы можете прочитать нашу статью об университете Bug Hunter здесь
Категория | Примеры | Приложения, позволяющие получить доступ к аккаунту Google [1] | Другие высокочувствительные приложения [2] | Нормальные гугл приложения | Неинтегрированные приобретения и другие изолированные приложения или приложения с более низким приоритетом [3] |
---|---|---|---|---|---|
Уязвимости, дающие прямой доступ к серверам Google | |||||
Удаленное выполнение кода | Внедрение команд, ошибки десериализации, выход из песочницы | 31 337 долл. США | 31 337 долл. США | 31 337 долл. США | 1337–5000 долларов |
Неограниченный доступ к файловой системе или базе данных | XXE без тестовой среды, SQL-инъекция | 13 337 долл. США | 13 337 долл. США | 13 337 долл. США | 1337–5000 долларов |
Утечка логических ошибок или обход существенных мер безопасности | Прямая ссылка на объект, олицетворение удаленного пользователя | 13 337 долл. США | 7 500 долл. США | 5 000 долл. США | 500 долларов США |
Уязвимости, дающие доступ к клиенту или аутентифицированному сеансу вошедшего в систему жертва | |||||
Выполнить код на клиенте | Интернет: Межсайтовый скриптинг Мобильный / Аппаратный: Выполнение кода | 7 500 долл. США | 5 000 долл. США | 3133 долларов.7 | 100 долларов США |
Другие допустимые уязвимости безопасности | Веб: CSRF, Clickjacking Мобильный / Аппаратный: Утечка информации, привилегии | 500–7500 долларов США | 500–5 000 долларов США | 500–3133 долларов.7 | 100 долларов США |
[1] Например, для веб-ресурсов это включает некоторые уязвимости в Google.
Аккаунты (https://accounts.google.com).
[2] В эту категорию входят такие продукты, как Поиск Google (https://www.google.com и
https://encrypted.google.com), Google Кошелек (https://wallet.google.com), Google Mail.
(https://mail.google.ru), Google Inbox (https://inbox.google.com), Google Code Hosting
(https://code.google.com), Chromium Bug Tracker (https://bugs.chromium.org), Chrome Web
Магазин (https://chrome.google.com), Google App Engine (https://appengine.google.com), Google
Администратор (https://admin.google.com), Консоль разработчика Google
(https://console.developers.google.com) и Google Play (https://play.google.com).
[3] Обратите внимание, что за приобретения полагается вознаграждение только по истечении первых шести месяцев.
Период отключения электроэнергии истек.
Суммы вознаграждения за методы, связанные со злоупотреблениями
Новинка! Вознаграждения за методы, связанные со злоупотреблениями, основаны на другой шкале
и колеблется от 100 до 13 337 долларов США. Размер вознаграждения за эти ошибки, связанные со злоупотреблениями, зависит от
потенциальная вероятность и влияние представленной техники.
Удар [1] | ||||
---|---|---|---|---|
Высокая | Средний | Низкий | ||
Вероятность [2] | Высокая | До 13 337 долл. США | 3133 долл. США.От 7 до 5000 долларов | $ 1,337 |
Средний | 3133,7–5 000 долл. США | $ 1,337 | от 100 до 500 долларов | |
Низкий | $ 1,337 | от 100 до 500 долларов | HoF Credit |
[1] Оценка воздействия основана на потенциале атаки с точки зрения нарушения конфиденциальности.
нарушения, финансовые потери и другой вред пользователям, а также достигнутая пользовательская база.
[2] Оценка вероятности учитывает набор технических навыков, необходимых для
провести атаку, потенциальные мотиваторы такой атаки и вероятность
уязвимость обнаружена злоумышленником.
Окончательная сумма всегда выбирается на усмотрение панели вознаграждения. В частности, мы
может решить заплатить более высокое вознаграждение за необычно умные или серьезные уязвимости; решить
платить меньшее вознаграждение за уязвимости, требующие необычного взаимодействия с пользователем; решить, что
один отчет фактически содержит несколько ошибок; или что несколько отчетов так близко
сообщил, что они гарантируют только одно вознаграждение.
Мы понимаем, что некоторых из вас деньги не интересуют. Предлагаем возможность пожертвовать
ваша награда установленной благотворительной организации. Если вы это сделаете, мы удвоим ваше пожертвование — тема
на наше усмотрение. Любые награды, которые не востребованы по прошествии 12 месяцев, будут переданы в дар
благотворительность по нашему выбору.
Расследование и сообщение об ошибках
При исследовании уязвимости, пожалуйста, выбирайте таргетинг только на свои собственные учетные записи.Никогда
пытаться получить доступ к чьим-либо данным и не заниматься какой-либо деятельностью, которая могла бы быть
деструктивно или вредно для ваших коллег-пользователей или для Google.
Если вы обнаружили уязвимость, свяжитесь с нами по адресу goo.gl/vulnz. Будьте лаконичны : контактная форма
с участием инженеров по безопасности, и короткая ссылка для подтверждения концепции более ценна, чем
видео, объясняющее последствия ошибки XSS. При необходимости вы можете использовать этот ключ PGP.
Обратите внимание, что мы можем отвечать только на отчеты о технических уязвимостях. Ошибки, не связанные с безопасностью
а запросы о проблемах с вашей учетной записью следует направлять в справочные центры Google.
Часто задаваемые вопросы
В. Что, если я обнаружил уязвимость, но не знаю, как ее использовать?
О: Мы ожидаем, что отправленные нам отчеты об уязвимостях содержат действительный сценарий атаки, дающий право на вознаграждение, и рассматриваем это как
важный шаг при проведении исследования уязвимостей.Суммы вознаграждения
принято решение, исходя из максимального воздействия уязвимости, и комиссия готова
пересмотреть размер вознаграждения на основе новой информации (например, цепочки ошибок или пересмотренного
сценарий атаки).
Вопрос: Как мне продемонстрировать серьезность ошибки, если я не должен отслеживать
вокруг?
О: Отправьте отчет, как только вы обнаружите потенциальную проблему безопасности.В
панель рассмотрит максимальное влияние и соответственно выберет награду. Мы обычно
платить более высокие вознаграждения за хорошо написанные и полезные материалы, в которых репортер
не заметил или не смог полностью проанализировать влияние той или иной ошибки.
Вопрос: Я обнаружил устаревшее программное обеспечение (например, Apache или WordPress). Подходит ли это для
награда?
A: Выполните комплексную проверку: подтвердите, что обнаруженное программное обеспечение содержит какие-либо заслуживающие внимания
уязвимостей, и объясните, почему вы подозреваете, что эти функции могут быть раскрыты и могут
представляют опасность при нашем конкретном использовании.Отчеты, не содержащие эту информацию, будут
обычно не подходят.
В. Кто определяет, будет ли мой отчет иметь право на вознаграждение?
О: Панель вознаграждений состоит из членов команды безопасности Google. Электрический ток
постоянными членами являются Даниэль Стельтер-Глизе, Эдуардо Вела Нава, Габор Мольнар, Кшиштоф
Котович, Мартин Страка и Майкл Езерны. Кроме того, есть вращающийся элемент от
в
остальная часть нашей команды.
Вопрос: Что произойдет, если я сообщу об ошибке до того, как вы ее исправите?
A: Пожалуйста, ознакомьтесь с нашей позицией по
согласованное раскрытие. По сути, мы обещаем вам быстро ответить и исправить
ошибки в разумные сроки — и взамен мы просим заблаговременное уведомление в разумные сроки.
Отчеты, противоречащие этому принципу, обычно не рассматриваются, но мы их оценим.
в индивидуальном порядке.
В. Мой отчет не был решен в течение первой недели с момента подачи. Почему нет
уже решено?
Ответ: Для оценки отчетов, касающихся потенциальных уязвимостей, связанных со злоупотреблениями, может потребоваться больше времени,
потому что рассмотрение наших текущих защитных механизмов требует исследования того, как в реальной жизни
нападение будет иметь место, и рассмотрение воздействия и вероятности требует изучения типа
мотивов и побуждений злоумышленников представленного сценария атаки на один из наших
товары.
В. Я хочу сообщить о проблеме через брокера уязвимостей. Будет ли мой отчет по-прежнему
претендовать на награду?
О: Мы считаем, что раскрытие недостатка в частном порядке противоречит духу программы.
третьим лицам в целях, отличных от фактического исправления ошибки. Следовательно, такие
отчеты обычно не соответствуют требованиям.
Вопрос: Что, если кто-то еще обнаружил ту же ошибку?
A: Первый, одетый лучше всех.Вы получите право на награду только в том случае, если вы были первым человеком.
чтобы предупредить нас о ранее неизвестном недостатке.
Вопрос: Мой работодатель / парень / собака неодобрительно отзываются о моем исследовании безопасности. Могу ли я сообщить о
проблема в частном порядке?
A: Конечно. Если вы выбраны получателем награды, и если вы примете ее, нам понадобится
ваши контактные данные для обработки платежа. Вы по-прежнему можете запросить, чтобы не отображались на нашем
страница публичных кредитов.
Вопрос: Что такое bughunter.withgoogle.com?
О: Панель управления для участников программы Google VRP. Он динамически создает
зал славы, то есть списки 0x0A и почетных упоминаний.
В. Нужен ли мне профиль на bughunter.withgoogle.com для участия в VRP?
О: Нет. Вы можете участвовать в VRP по тем же правилам, не имея профиля.Однако, если вы хотите, чтобы ваше имя было указано в 0x0A или списках почетных упоминаний,
вам необходимо создать профиль.
В. Доступны ли данные профиля в открытом доступе?
Ответ: Да. В профиле хранятся данные, которые в настоящее время уже доступны в нашем зале
славы, то есть в списках 0x0A и почетных упоминаний. Вы всегда можете оставить эти поля
пустой.
Q: Как сортируется список почетных упоминаний?
О: Зал славы сортируется по количеству допустимых сообщений об ошибках, соотношению
действительный vs.недопустимые материалы и их серьезность.
В. Моя учетная запись была отключена после выполнения некоторых тестов. Как я могу восстановить свою учетную запись?
О: Мы рекомендуем вам создать учетную запись, предназначенную только для тестирования, прежде чем начинать
тесты на наших продуктах, так как мы не можем гарантировать, что вы получите доступ к своей
аккаунт, если он отключен из-за ваших действий по тестированию. Если вы случайно использовали
не тестовая учетная запись или вы подозреваете, что ваша личная учетная запись была отключена из-за вашего тестирования,
вы можете запросить восстановление вашей учетной записи
Войдите в свою учетную запись Google и
выбрав «Попытаться восстановить».
Юридические вопросы
Мы не можем выдавать вознаграждения лицам, включенным в санкционные списки или находящимся в
страны (например, Куба, Иран, Северная Корея, Судан и Сирия) в санкционных списках. Ты
несет ответственность за любые налоговые последствия в зависимости от страны проживания и
гражданство. Могут быть дополнительные ограничения на вашу возможность участвовать в зависимости от
ваш местный закон.
Это не соревнование, а экспериментальная и дискреционная программа вознаграждений.Вы должны понимать, что мы можем отменить программу в любой момент и решение о ее
выплачивать вознаграждение или нет — полностью на наше усмотрение.
Конечно, ваше тестирование не должно нарушать какие-либо законы, нарушать или ставить под угрозу любые данные, которые
не твоя собственная.
.