世界最大のテクノロジー企業による26のバグバウンティプログラム

公開: 2022-02-17

バグバウンティプログラムは、Webサイト、サービス、および組織が提供する問題(バグと脆弱性)を見つけるのに役立ちます。

しかし、それはどのように起こりますか? それは何ですか? なぜ組織はそれらを持っているのですか?

ここでは、世界最大のテクノロジー企業のいくつかによって構築されたバグバウンティプラットフォームのリストとともに、それについて説明します。

バグバウンティプログラムとは何ですか?

バグ報奨金プログラムは、サービス/ウェブサイトにバグやセキュリティの脆弱性を発見した場合、独立した研究者や倫理的ハッカーに報酬を与えます。

バグバウンティプログラムは、セキュリティ研究者やハッカーが自分のスキルを試すのに最適な場所です。 それはあなたのスキルで公の競争とお金のための実行の感触を与えます。

あなたの活動によれば、それはあなたにとってフルタイムの仕事になる可能性があります。 そして、一部の人にとっては、やりがいのあるサイドギグになる可能性があります。

一般的に、これらのプラットフォームは、サービスに重大な問題があると報告した場合、莫大な賞金を提供します。

また、2つの異なるバグバウンティプラットフォームがあることに注意することも重要です。 一部の企業は自社のプラットフォームを構築することを好みますが、他の企業は既存のサードパーティのバグ報奨金プラットフォームを使用して、言及された報酬の目的/タスクを追加します。

ただし、レポートが適格となるための一連の最小要件があるものもあります。 したがって、報告するすべてのバグが報酬を獲得するわけではありません。

それに時間を投資することを決定する前に、バグ報奨金プログラムの規則またはガイドラインを通過した場合に役立ちます。

なぜ組織はバグバウンティプラットフォームを持っているのですか?

バグバウンティ

これで、バグバウンティプログラムにより、組織が独立したセキュリティ研究者(または直接雇用していない専門家)を巻き込んで、製品/Webサイトのバグや脆弱性を見つけることができることがわかりました。

しかし、なぜ大企業にバグ報奨金プログラムが必要なのですか?

彼らはすでにサービスを絶えず改善する熟練した従業員を持っていませんか?

技術的にはそうです。 ただし、バグバウンティプラットフォームを作成する目的は、より多くのセキュリティ研究者にサービスの監査またはテストを依頼することです(無料)。

丁度。

倫理的なハッカーと研究者のコミュニティ全体がサービスをテストし、レポートを通じてフィードバックを提供します。

彼らは彼らの仕事のために前払い料金を支払う必要はありません。

会社は、個人が有効なバグまたはセキュリティレポートを提出した場合にのみ、報酬(多くの場合、儲かる)を支払います。

全体として、バグ報奨金プログラムは、企業が製品を改善するために有益であり、倫理的なハッカーや研究者にとっても同様に報われます。

つまり、これはWin-Winのシナリオです。

最大の脆弱性報奨金プログラム

バグバウンティ

世界中に無数のバグ報奨金プログラムがあります。 ここでは、利用可能な最も著名なプログラムのいくつかに固執します。

プログラムごとに、資格と報酬に関するルールが異なることに注意してください。 ソフトウェアベースの問題に対して報酬と認識を提供するものもあれば、ハードウェアに対して報酬を提供するものもあります。 そのため、資格基準、資格のあるレポートルール、および賞の対象となる脆弱性の種類を必ず確認してください。

アップルセキュリティバウンティ

Apple Security Bountyは、倫理的なハッカーにとって最大のプラットフォームの1つです。 iCloudとそのスマートフォンのさまざまなセキュリティ問題に対して最大$1,000,000(100万ドル)の報酬を提供します。

賞品だけでなく、レポートを成功させながらAppleに参加することで、あなたの仕事が広く一般に認められるはずです。

彼らはまた、賞金の支払いをいくつかの適格な慈善団体と一致させます。これは良いことです。

メタバグバウンティ

以前はFacebookであったMetaには、バグ報奨金プログラム、別名Whitehatもあります。

報酬金は最大45,000ドルになる可能性があります。 バグの重大度に応じて、賞金ははるかに多くなる(またははるかに少なくなる)可能性があります。

Metaは、すべてのセキュリティ研究者の名前を公に投稿して、彼らに感謝しています。 2011年以前からの研究者へのクレジットを見つけることができます。

それに加えて、彼らはあなたがあなたの報酬を増やし(最大20%)そしてメタによるハッカーイベントへのスポンサー付きの旅行/旅行を獲得するのを助けるロイヤルティプログラムも提供します。

グーグルによるバグハンター

脆弱性報奨金プログラムでは、Google(YouTube、Bloggerなど)による複数のドメイン/サービスにわたる問題を報告できます。

特別レポートの場合、報酬は最大$30,000以上になる可能性があります。

また、既存の例からインスピレーション/ターゲットを取得し、学習しながら学習できる学習プラットフォームも備えています。

マイクロソフトバグバウンティ

マイクロソフトのバグバウンティ

マイクロソフトのバグバウンティプログラムは、あなたの仕事に貢献し、認められるための十分な機会を提供します。

報酬は、重大度とレポートの種類に応じて、最大100万ドル以上になる可能性があります。

Mozillaセキュリティバグバウンティ

Mozillaのセキュリティプログラムは、研究者にとってエキサイティングなプラットフォームです。 彼らは賞金の期待を公に開示していませんが、あなたは名声の殿堂にあなたの名前を載せています。

ツイッター

他とは異なり、Twitterはサードパーティのバグバウンティプラットフォームを利用して研究者を参加させます。 最小報奨金は280ドルから始まり、20,000ドルまで上がる可能性があります。

また、適格な研究者に感謝するために、HackerOneプラットフォームの名声の殿堂が含まれています。

Uber

UberのバグバウンティプログラムもHackerOneに依存しており、重要なレポートで最大15,000ドルを獲得し、名声の殿堂にあなたの名前を付けることができます。

テスラ

テスラのバグバウンティプログラムは、さらに別のサードパーティのバグバウンティプラットフォームであるBugcrowdにあります。

報酬は、適格基準に従って、脆弱性ごとに最大15,000ドルの範囲になります。

インテルバグバウンティ

Intelのバグバウンティプログラムは、initigritiプラットフォームにリストされています。 研究者にとって、ソフトウェア、ファームウェア、およびインテルのハードウェアの問題を見つけることは、やりがいのある機会です。

報酬は最大$100,000になる可能性があります。

Tencentセキュリティレスポンスセンター

Tencentのバグバウンティプログラムは、WeChat、QQ、TencentのWebサイト、ドメイン、およびそれらが所有する他のいくつかのアプリケーションなどのさまざまな資産を対象としています。

報酬は最高ではない可能性があり、重要な開示に対して最大3800ドルの範囲です。 あなたは名声の殿堂を手に入れます。

サムスンリワードプログラム

Samsung Rewards Programは、Samsungのモバイル製品のバグ報奨金プログラムです。

レポートが適格であることを考慮すると、問題の重大度に応じて、報酬は最大$2,00,000以上になる可能性があります。 公式ウェブサイトを使用して報告することはできますが、支払いの処理と研究者への連絡はBugcrowdに依存しています。

Cisco Meraki

エンタープライズ向けのクラウド制御WiFi、ルーティング、およびセキュリティを扱うシスコの製品/オファリングは、バグバウンティプログラムにBugcrowdを利用しています。 それを専門的な製品と見なすと、問題を明らかにするために必要な作業/スキルは、挑戦的または刺激的である可能性があります。

深刻な問題の場合、報酬は最大10,000ドルになる可能性があります。

Netflixバグバウンティ

netflixバグバウンティ

NetflixのバグバウンティプログラムはBugcrowdにもあり、テスト/レポートの対象となるすべてのドメイン/サービスが一覧表示されます。

報酬は、脆弱性ごとに最大20,000ドルになる可能性があります。

PayPal

Paypalのバグバウンティプログラムは、HackerOneプラットフォームを利用しています。 また、参加するには2要素認証を有効にする必要があります。

重大な脆弱性レポートの報酬は最大20,000ドルになる可能性があります。

Intuitバグバウンティ

QuickBooks、TurboTax、Mintなどの製品を開発しているIntuitは、公式WebサイトのフォームとHackerOneを使用してレポートを送信する機能を提供しています。

HackerOneでは、バグバウンティプログラムは非公開です。 そのため、確認して参加するには、アカウントにログインする必要があります。

Shopify

最も人気のあるeコマースプラットフォームの1つである、HackerOneでのShopifyのバグ報奨金プログラムは、深刻な脆弱性に対して最大50,000ドルの報奨金を支払うことができます。

アリババ

アリババのバグバウンティプログラムは、アリババが所有するほとんどのウェブサイト/サービスを対象としています。 公式Webサイトから脆弱性レポートを送信すると、最大$2500の報酬を期待できます。

Soundcloud

最大のオープンオーディオプラットフォームの1つであるSoundcloudは、深刻な脆弱性が報告された場合に最大4500ドルの報酬を提供するバグクラウドベースのバグ報奨金プログラムを提供しています。

あなたはバグクラウドでいつもの名声の殿堂を得るでしょう。

Airbnb

Airbnbは、HackerOneバグバウンティプラットフォームを通じて最大15,000ドルの報酬を提供します。 また、50%のボーナスを提供しながら、ハッカーが新しい重大な脆弱性に取り組むことを奨励するプロモーションも開催しています。

Booking.com

Booking.comは、HackerOneに関する特定の詳細(適格なドメインを除く)を開示していません。

HackerOneの開示支援プログラムを通じてセキュリティチームに連絡できます。

Xiaomi

xiaomiバグバウンティ

XiaomiはバグバウンティプログラムにHackerOneを利用しています。 このプログラムは、研究者向けのいくつかのサービスを対象としており、ビジネス製品の重大な脆弱性に対する最大8000ドルの賞金に加えて特別な報酬とボーナスが含まれています。

四角

Squareは、スマートフォンで利用できるPOSアプリケーションです。 そのアプリ/ウェブサイトの深刻な脆弱性レポートについては、Bugcrowdのバグ報奨金プログラムを通じて最大5000ドルの報酬を提供します。

任天堂

任天堂のバグバウンティプログラムでは、プレイヤーが不正行為をしたり、ゲームを海賊版にしたり、その他の技術的な問題を引き起こしたりする問題を見つけることができます。

報酬は最大12,000ドルになる可能性があります。

Coinbase

Coinbaseは主要な暗号通貨交換プラットフォームです。 これは、HackerOneを通じて最大50,000ドルの報酬を提供するバグ報奨金プログラムを提供します。

Cloudflare

クラウドフレアバグバウンティ

Cloudflareは、インターネット企業がWeb上のサービスを保護および改善するのに役立つ重要なサービスのほとんどを提供します。 HackerOneのバグバウンティプログラムでは、研究者が探すことができるさまざまな問題と、必要なすべてのドキュメントへのリンクについて説明しています。

深刻な問題の場合、報酬は最大$3000になる可能性があります。

ExpressVPN

ExpressVPNのバグバウンティプログラムは、間違いなく他のVPNサービスプロバイダーの中で最大です。

通常の最大$2500の報酬に加えて、リモートコード実行の脆弱性またはクライアントのIPアドレスを漏洩する何かを最初に報告した場合は、最大$1,00,000の1回限りのボーナスも提供します。

バグ、報酬、認識の狩り

バグバウンティプログラムが倫理的なハッカーに彼らのスキルをテストするための遊び場を与えることを考えると、独立した研究者や会社が彼らの提供物を改善することは良い考えのように思えます。

バグバウンティプログラムに記載されているルール/ガイドラインに従うことは非常に重要です。 基準を満たしていない場合、時間を無駄にし、レポートは報酬の対象になりません。

また、倫理的なハッカーのトレーニングの場に興味があるかもしれません。