26 Bug-Bounty-Programme der größten Technologieunternehmen der Welt
Veröffentlicht: 2022-02-17Ein Bug-Bounty-Programm hilft Websites, Diensten und Organisationen, Probleme (Bugs und Schwachstellen) in ihren Angeboten zu finden.
Aber wie passiert das? Was ist es? Warum haben Organisationen sie?
Hier werden wir es diskutieren, zusammen mit einer Liste von Bug-Bounty-Plattformen, die von einigen der weltweit größten Technologieunternehmen erstellt wurden.
Was ist ein Bug-Bounty-Programm?
Ein Bug-Bounty-Programm belohnt unabhängige Forscher und ethische Hacker, wenn sie einen Fehler oder eine Sicherheitslücke in einem Dienst/einer Website finden.
Ein Bug-Bounty-Programm ist ein perfekter Ort für Sicherheitsforscher oder Hacker, um ihre Fähigkeiten auf die Probe zu stellen. Es vermittelt das Gefühl eines öffentlichen Wettbewerbs und eines Rennens um das Geld mit Ihren Fähigkeiten.
Je nach Ihren Aktivitäten könnte es für Sie zu einem Vollzeitjob werden. Und für manche kann es ein lohnender Nebenjob sein.
Im Allgemeinen bieten diese Plattformen riesige Preisgelder, wenn Sie ein schwerwiegendes Problem in ihrem Dienst melden.
Es ist auch wichtig zu beachten, dass es zwei verschiedene Bug-Bounty-Plattformen gibt. Einige Unternehmen bauen lieber ihre eigene Plattform, während andere bestehende Bug-Bounty-Plattformen von Drittanbietern verwenden, um Ziele/Aufgaben für die erwähnte Belohnung hinzuzufügen.
Einige haben jedoch eine Reihe von Mindestanforderungen, damit sich ein Bericht qualifizieren kann. Nicht jeder Fehler, den Sie melden, bringt Ihnen also Belohnungen ein.
Es wäre hilfreich, wenn Sie die Regeln oder Richtlinien eines Bug-Bounty-Programms durchgehen würden, bevor Sie sich entscheiden, Zeit darin zu investieren.
Warum haben Unternehmen Bug-Bounty-Plattformen?
Jetzt wissen Sie, dass ein Bug-Bounty-Programm es jeder Organisation ermöglicht, unabhängige Sicherheitsforscher (oder Fachleute, die sie nicht direkt beschäftigen) einzubeziehen, um Fehler und Schwachstellen in ihrem Produkt/ihrer Website zu finden.
Aber warum ist ein Bug-Bounty-Programm für große Unternehmen notwendig?
Haben sie nicht bereits kompetente Mitarbeiter, die den Service ständig verbessern?
Technisch ja. Das Ziel der Schaffung einer Bug-Bounty-Plattform besteht jedoch darin, dass mehr Sicherheitsforscher ihren Dienst prüfen oder testen (kostenlos).
Exakt.
Die gesamte Community ethischer Hacker und Forscher testet ihre Dienste und gibt ihnen Feedback durch Berichte.
Sie müssen für ihre Arbeit keine Vorauszahlung leisten.
Das Unternehmen zahlt nur dann eine (oft lukrative) Belohnung, wenn eine Person einen gültigen Fehler- oder Sicherheitsbericht einreicht.
Insgesamt ist ein Bug-Bounty-Programm für Unternehmen profitabel, um ihr Produkt zu verbessern, und es ist gleichermaßen lohnend für ethische Hacker und Forscher.
Es ist also ein Win-Win-Szenario.
Größte Bug-Bounty-Programme
Es gibt unzählige Bug-Bounty-Programme auf der ganzen Welt. Hier halten wir uns an einige der bekanntesten verfügbaren Programme.
Beachten Sie, dass jedes Programm unterschiedliche Regeln für die Berechtigung und Prämien hat. Einige bieten Belohnungen und Anerkennung für softwarebasierte Probleme und andere für Hardware. Überprüfen Sie daher unbedingt die Auswahlkriterien, die Regeln für die qualifizierenden Berichte und die Art der Schwachstellen, die für den Preis in Frage kommen.
Apple-Sicherheitsprämie
Apple Security Bounty ist eine der größten Plattformen für ethische Hacker. Es bietet Belohnungen von bis zu 1.000.000 US-Dollar (eine Million US-Dollar) für verschiedene Sicherheitsprobleme bei iCloud und seinen Smartphones.
Nicht nur auf den Belohnungspreis beschränkt, sondern sich für Apple zu engagieren und gleichzeitig einen erfolgreichen Bericht zu erstellen, sollte Ihnen eine gute öffentliche Anerkennung für Ihre Arbeit verschaffen.
Sie passen auch die Prämienzahlungen an einige qualifizierte Wohltätigkeitsorganisationen an, was gut ist.
Meta-Bug-Prämie
Meta, ehemals Facebook, hat auch sein Bug-Bounty-Programm, auch bekannt als Whitehat.
Das Belohnungsgeld kann bis zu 45.000 US-Dollar betragen. Je nach Schwere des Fehlers kann das Preisgeld viel mehr (oder viel weniger) betragen.
Meta veröffentlicht die Namen aller Sicherheitsforscher öffentlich, um ihnen zu danken. Sie können Credits für Forscher seit 2011 und früher finden.
Darüber hinaus bieten sie auch ein Treueprogramm an, mit dem Sie Ihre Prämien vervielfachen (bis zu 20 %) und gesponserte Reisen/Reisen zu Hacker-Events von Meta verdienen können.
Bug Hunters von Google
Mit dem Prämienprogramm von Bug Hunters können Sie Probleme über mehrere Domains/Dienste von Google (YouTube, Blogger usw.) melden.
Die Belohnungen für Sonderberichte können bis zu 30.000 US-Dollar und mehr betragen.
Sie verfügen auch über eine Lernplattform, auf der Sie Inspirationen/Ziele aus bestehenden Beispielen entnehmen und dabei lernen können.
Microsoft Bug Bounty
Das Bug-Bounty-Programm von Microsoft bietet zahlreiche Möglichkeiten, einen Beitrag zu leisten und Anerkennung für Ihre Arbeit zu erhalten.
Die Belohnungen können je nach Schweregrad und Art des Berichts bis zu 1 Million US-Dollar oder mehr betragen.
Prämie für Mozilla-Sicherheitsfehler
Das Sicherheitsprogramm von Mozilla ist eine spannende Plattform für Forscher. Während sie die Preisgelderwartungen nicht öffentlich bekannt geben, erhalten Sie Ihren Namen in einer Hall of Fame-Liste.
Im Gegensatz zu anderen verwendet Twitter eine Bug-Bounty-Plattform eines Drittanbieters, um Forschern beitreten zu lassen. Die Mindestprämie beginnt bei 280 $ und kann bis zu 20.000 $ betragen.
Es enthält auch eine Hall of Fame auf der HackerOne-Plattform, um den berechtigten Forschern zu danken.
Über
Das Bug-Bounty-Programm von Uber stützt sich ebenfalls auf HackerOne, wo Sie bis zu 15.000 US-Dollar für kritische Berichte erhalten und Ihren Namen in die Hall of Fame aufnehmen können.
Tesla
Das Bug-Bounty-Programm von Tesla ist auf Bugcrowd zu finden, einer weiteren Bug-Bounty-Plattform eines Drittanbieters.
Die Belohnungen können gemäß den Auswahlkriterien bis zu 15.000 US-Dollar pro Schwachstelle betragen.
Intel-Bug-Bounty
Das Bug-Bounty-Programm von Intel ist auf der Initigriti-Plattform aufgelistet. Es ist eine lohnende Gelegenheit für Forscher, Probleme mit Software, Firmware und Intel-Hardware zu finden.
Die Belohnungen können bis zu 100.000 US-Dollar betragen.
Tencent Security Response Center
Das Bug-Bounty-Programm von Tencent umfasst verschiedene Assets wie WeChat, QQ, Tencents Website, Domains und mehrere andere Anwendungen, die ihnen gehören.
Die Belohnungen sind möglicherweise nicht die höchsten und reichen bis zu 3800 $ für die wesentlichen Offenlegungen; Sie erhalten eine Hall of Fame-Tafel.
Samsung Rewards-Programm
Das Samsung Rewards Program ist das Bug-Bounty-Programm für mobile Produkte von Samsung.
Wenn Ihr Bericht qualifiziert ist, kann die Belohnung je nach Schwere des Problems bis zu 2.00.000 US-Dollar und mehr betragen. Während Sie es über die offizielle Website melden können, verlassen sie sich auf Bugcrowd, um die Zahlungen zu verarbeiten und den Forscher zu kontaktieren.
Cisco Meraki
Das Produkt/Angebot von Cisco, das sich mit unternehmensorientiertem Cloud-gesteuertem WLAN, Routing und Sicherheit befasst, nutzt Bugcrowd für sein Bug-Bounty-Programm. Wenn man es als spezialisiertes Angebot betrachtet, können die Arbeiten/Fähigkeiten, die zum Aufdecken von Problemen erforderlich sind, herausfordernd oder aufregend sein.
Bei schwerwiegenden Problemen können die Belohnungen bis zu 10.000 US-Dollar betragen.
Netflix-Bug-Bounty
Das Bug-Bounty-Programm von Netflix ist auch auf Bugcrowd zu finden, wo sie alle ihre Domains/Dienste auflisten, die zum Testen/Berichten in Frage kommen.
Die Belohnungen können bis zu 20.000 US-Dollar pro Schwachstelle betragen.
PayPal
Das Bug-Bounty-Programm von Paypal nutzt die HackerOne-Plattform. Außerdem muss die Zwei-Faktor-Authentifizierung aktiviert sein, um teilnehmen zu können.
Die Belohnungen für kritische Schwachstellenberichte können bis zu 20.000 US-Dollar betragen.
Intuit Bug Bounty
Intuit, das Unternehmen hinter Produkten wie QuickBooks, TurboTax, Mint usw., bietet die Möglichkeit, einen Bericht über ein Formular auf seiner offiziellen Website und auch HackerOne einzureichen.
Bei HackerOne ist das Bug-Bounty-Programm privat. Sie müssen sich also bei Ihrem Konto anmelden, um sich zu verifizieren und teilzunehmen.
Shopify
Als eine der beliebtesten E-Commerce-Plattformen kann das Bug-Bounty-Programm von Shopify auf HackerOne eine Belohnung von bis zu 50.000 US-Dollar für eine schwerwiegende Schwachstelle auszahlen.
Alibaba
Das BugBounty-Programm von Alibaba deckt die meisten Websites/Dienste ab, die es besitzt. Sie können den Schwachstellenbericht von der offiziellen Website einreichen und Belohnungen von bis zu 2500 US-Dollar erwarten.
Klangwolke
Als eine der größten offenen Audioplattformen bietet Soundcloud ein Bugcrowd-basiertes Bug-Bounty-Programm mit Prämien von bis zu 4500 US-Dollar im Falle von schwerwiegenden Schwachstellenmeldungen.
Sie erhalten die übliche Hall of Fame mit Bugcrowd.
Airbnb
Airbnb bietet Prämien von bis zu 15.000 US-Dollar über die Bug-Bounty-Plattform HackerOne. Es bietet auch Werbeaktionen an, um Hacker zu ermutigen, an neuen kritischen Schwachstellen zu arbeiten, und bietet gleichzeitig einen Bonus von 50 %.
Booking.com
Booking.com gibt keine besonderen Details (mit Ausnahme der berechtigten Domains) auf HackerOne bekannt.
Sie können das Sicherheitsteam über das Offenlegungsunterstützungsprogramm von HackerOne kontaktieren.
Xiaomi
Xiaomi nutzt HackerOne für sein Bug-Bounty-Programm. Das Programm umfasst mehrere Dienstleistungen für Forscher und beinhaltet spezielle Belohnungen und Boni zusätzlich zu einer Preisprämie von bis zu 8000 US-Dollar für eine kritische Schwachstelle in ihren Geschäftsprodukten.
Quadrat
Square ist eine Point-of-Sale-Anwendung, die für Smartphones verfügbar ist. Für Berichte über schwerwiegende Schwachstellen für seine App/Website bietet es bis zu 5000 US-Dollar als Belohnung über sein Bug-Bounty-Programm auf Bugcrowd.
Nintendo
Mit dem Bug-Bounty-Programm von Nintendo können Sie Probleme finden, die Spieler betrügen, Spiele raubkopieren und andere technische Probleme verursachen.
Die Belohnungen können bis zu 12.000 US-Dollar betragen.
Münzbasis
Coinbase ist eine dominante Plattform für den Austausch von Kryptowährungen. Es bietet ein Bug-Bounty-Programm über HackerOne mit Belohnungen von bis zu 50.000 US-Dollar.
Wolkenflare
Cloudflare bietet die meisten wichtigen Dienste, die Internetunternehmen dabei helfen, ihre Angebote im Web zu schützen und zu verbessern. Sein Bug-Bounty-Programm auf HackerOne beschreibt verschiedene Probleme, nach denen ein Forscher suchen kann, zusammen mit Links zu allen notwendigen Dokumentationen.
Bei schwerwiegenden Problemen können die Belohnungen bis zu 3000 US-Dollar betragen.
ExpressVPN
Das Bug-Bounty-Programm von ExpressVPN ist wohl das größte unter anderen VPN-Dienstanbietern.
Neben den üblichen Belohnungen von bis zu 2.500 US-Dollar bietet es auch einen einmaligen Bonus von bis zu 1.00.000 US-Dollar, wenn Sie als Erster eine Schwachstelle bei der Ausführung von Remote-Code oder etwas melden, das die IP-Adressen von Clients preisgibt.
Die Jagd nach Fehlern, Belohnungen und Anerkennung
Wenn man bedenkt, dass ein Bug-Bounty-Programm ethischen Hackern einen Spielplatz bietet, um ihre Fähigkeiten zu testen, klingt es nach einer guten Idee für jeden unabhängigen Forscher und das Unternehmen, ihre Angebote zu verbessern.
Es ist unglaublich wichtig, die im Bug-Bounty-Programm genannten Regeln/Richtlinien zu befolgen. Wenn Sie die Kriterien nicht erfüllen, verschwenden Sie Zeit und Ihr Bericht wird nicht belohnt.
Sie könnten auch an Ethical Hacker Training Grounds interessiert sein.