26 programas Bug Bounty de las compañías tecnológicas más grandes del mundo

Publicado: 2022-02-17

Un programa de recompensas por errores ayuda a los sitios web, servicios y organizaciones a encontrar problemas (errores y vulnerabilidades) en sus ofertas.

Pero, ¿cómo sucede eso? ¿Qué es? ¿Por qué las organizaciones los tienen?

Aquí lo discutiremos, junto con una lista de plataformas de recompensas por errores creadas por algunas de las compañías tecnológicas más grandes del mundo.

¿Qué es un programa de recompensas por errores?

Un programa de recompensas por errores recompensa a los investigadores independientes y a los piratas informáticos éticos cuando encuentran un error o una vulnerabilidad de seguridad en un servicio/sitio web.

Un programa de recompensas por errores es un lugar perfecto para que los investigadores de seguridad o los piratas informáticos pongan a prueba sus habilidades. Da la sensación de una competencia pública y una carrera por el dinero con tus habilidades.

Según sus actividades, podría terminar siendo un trabajo de tiempo completo para usted. Y, para algunos, puede ser un trabajo secundario gratificante.

En general, estas plataformas ofrecen grandes premios en efectivo si informa un problema grave en su servicio.

También es importante tener en cuenta que hay dos plataformas diferentes de recompensas por errores. Algunas empresas prefieren construir su plataforma, mientras que otras usan plataformas de recompensas por errores de terceros existentes para agregar objetivos/tareas para la recompensa mencionada.

Sin embargo, algunos tienen un conjunto de requisitos mínimos para que un informe califique. Por lo tanto, no todos los errores que informe le otorgarán recompensas.

Sería útil si repasaras las reglas o pautas de un programa de recompensas por errores antes de decidir invertir tiempo en él.

¿Por qué las organizaciones tienen plataformas de recompensas por errores?

recompensa por errores

Ahora sabe que un programa de recompensas por errores permite que cualquier organización involucre a investigadores de seguridad independientes (o profesionales que no emplean directamente) para encontrar errores y vulnerabilidades en su producto/sitio web.

Pero, ¿por qué es necesario un programa de recompensas por errores para las grandes empresas?

¿No tienen ya empleados calificados que mejoran constantemente el servicio?

Técnicamente, sí. Sin embargo, el objetivo de crear una plataforma de recompensas por errores es que más investigadores de seguridad auditen o prueben su servicio (gratis).

Exactamente.

Toda la comunidad de hackers e investigadores éticos prueba sus servicios y les da retroalimentación a través de informes.

No tienen que pagar una tarifa por adelantado por su trabajo.

La empresa solo paga una recompensa (a menudo lucrativa) cuando una persona envía un error válido o un informe de seguridad.

En general, un programa de recompensas por errores es rentable para que las empresas mejoren su producto, y es igualmente gratificante para los hackers e investigadores éticos.

Por lo tanto, es un escenario de ganar-ganar.

Programas de recompensas por errores más grandes

recompensa por errores

Hay innumerables programas de recompensas por errores en todo el mundo. Aquí, nos ceñimos a algunos de los programas más destacados disponibles.

Tenga en cuenta que cada programa tiene diferentes reglas de elegibilidad y recompensas. Algunos ofrecen recompensas y reconocimiento por problemas relacionados con el software y otros por hardware. Por lo tanto, asegúrese de verificar los criterios de elegibilidad, las reglas del informe de calificación y el tipo de vulnerabilidades elegibles para el premio.

Recompensa de seguridad de Apple

Apple Security Bounty es una de las mayores plataformas para hackers éticos. Ofrece recompensas de hasta $1,000,000 (un millón de dólares) por varios problemas de seguridad en iCloud y sus teléfonos inteligentes.

No solo se limita al premio de recompensa, sino que involucrarse con Apple y tener un informe exitoso debería brindarle un buen reconocimiento público por su trabajo.

También igualan los pagos de recompensas a algunas organizaciones benéficas que califican, lo cual es bueno.

Recompensa de errores meta

Meta, anteriormente Facebook, también tiene su programa de recompensas por errores, también conocido como Whitehat.

El dinero de la recompensa puede llegar hasta $ 45,000. Según la gravedad del error, el dinero del premio puede ser mucho más (o mucho menos).

Meta publica el nombre de todos los investigadores de seguridad públicamente para agradecerles. Puede encontrar créditos a investigadores desde 2011 y anteriores.

Además de eso, también ofrecen un programa de fidelización que lo ayuda a multiplicar sus recompensas (hasta un 20%) y ganar viajes/viajes patrocinados a eventos de hackers por parte de Meta.

Cazadores de errores de Google

El programa de recompensas Bug Hunters le permite informar problemas en varios dominios/servicios de Google (YouTube, Blogger, etc.)

Las recompensas pueden ascender a $30,000 y más para informes especiales.

También cuentan con una plataforma de aprendizaje donde puede inspirarse/objetivos de ejemplos existentes y aprender sobre la marcha.

Recompensa de errores de Microsoft

recompensa por errores de microsoft

El programa de recompensas por errores de Microsoft brinda amplias oportunidades para contribuir y ser reconocido por su trabajo.

Las recompensas pueden llegar a $ 1 millón o más según la gravedad y el tipo de informe.

Recompensa por errores de seguridad de Mozilla

El programa de seguridad de Mozilla es una plataforma interesante para los investigadores. Si bien no revelan públicamente las expectativas del premio en metálico, obtienes tu nombre en una lista del salón de la fama.

Gorjeo

A diferencia de otros, Twitter utiliza una plataforma de recompensas de errores de terceros para permitir que los investigadores se unan. La recompensa mínima comienza en $ 280 y puede llegar hasta $ 20,000.

También incluye un salón de la fama en la plataforma HackerOne para agradecer a los investigadores elegibles.

Uber

El programa de recompensas por errores de Uber también se basa en HackerOne, donde puede obtener hasta $15,000 por informes críticos y obtener su nombre en el salón de la fama.

tesla

El programa de recompensas por errores de Tesla se puede encontrar en Bugcrowd, otra plataforma de recompensas por errores de terceros.

Las recompensas pueden variar hasta $ 15,000 por vulnerabilidad según los criterios de elegibilidad.

Recompensa por errores de Intel

El programa de recompensas por errores de Intel se puede encontrar en la plataforma initigriti. Es una oportunidad gratificante para que los investigadores encuentren problemas de software, firmware y hardware de Intel.

Las recompensas pueden llegar hasta $ 100,000.

Centro de respuesta de seguridad de Tencent

El programa de recompensas por errores de Tencent cubre varios activos como WeChat, QQ, el sitio web de Tencent, dominios y varias otras aplicaciones de su propiedad.

Las recompensas pueden no ser las más altas, llegando hasta $3800 por las revelaciones esenciales; obtienes un tablero del salón de la fama.

Programa de recompensas de Samsung

El Programa de recompensas de Samsung es el programa de recompensas por errores para los productos móviles de Samsung.

Teniendo en cuenta que su informe califica, la recompensa puede ascender a $ 2,00,000 y más según la gravedad del problema. Si bien puede informarlo utilizando su sitio web oficial, confían en Bugcrowd para procesar los pagos y contactar al investigador.

cisco meraki

El producto/oferta de Cisco que se ocupa de Wi-Fi, enrutamiento y seguridad controlados por la nube centrados en la empresa utiliza Bugcrowd para su programa de recompensas por errores. Al considerarlo como una oferta especializada, el trabajo y las habilidades necesarias para descubrir problemas pueden ser desafiantes o emocionantes.

Las recompensas pueden llegar hasta $ 10,000 por problemas graves.

Recompensa de errores de Netflix

recompensa de errores de netflix

El programa de recompensas por errores de Netflix también se puede encontrar en Bugcrowd, donde enumeran todos sus dominios/servicios que son elegibles para pruebas/informes.

Las recompensas pueden llegar hasta $20,000 por vulnerabilidad.

Paypal

El programa de recompensas por errores de Paypal utiliza la plataforma HackerOne. Además, necesita autenticación de dos factores habilitada para poder participar.

Las recompensas pueden llegar hasta $20,000 por informes de vulnerabilidades críticas.

Recompensa de errores de Intuit

Intuit, la empresa detrás de productos como QuickBooks, TurboTax, Mint, etc., ofrece la posibilidad de enviar un informe mediante un formulario en su sitio web oficial y también en HackerOne.

Con HackerOne, el programa de recompensas por errores es privado. Por lo tanto, deberá iniciar sesión en su cuenta para verificar y participar.

Shopify

Siendo una de las plataformas de comercio electrónico más populares, el programa de recompensas por errores de Shopify en HackerOne puede pagar una recompensa de hasta $ 50,000 por una vulnerabilidad grave.

alibaba

El programa BugBounty de Alibaba cubre la mayoría de los sitios web/servicios que posee. Puede enviar el informe de vulnerabilidad desde su sitio web oficial y esperar recompensas de hasta $ 2500.

nube de sonido

Soundcloud, una de las plataformas de audio abiertas más grandes, ofrece un programa de recompensas por errores basado en Bugcrowd con recompensas de hasta $4500 en caso de informes de vulnerabilidades graves.

Obtendrá el salón de la fama habitual con bugcrowd.

airbnb

Airbnb ofrece recompensas de hasta $ 15,000 a través de la plataforma de recompensas por errores HackerOne. También realiza promociones para alentar a los piratas informáticos a trabajar en nuevas vulnerabilidades críticas y ofrece una bonificación del 50%.

Booking.com

Booking.com no divulga ningún detalle en particular (excepto los dominios elegibles) en HackerOne.

Puede ponerse en contacto con su equipo de seguridad a través del programa de asistencia de divulgación de HackerOne.

xiaomi

recompensa por errores de xiaomi

Xiaomi utiliza HackerOne para su programa de recompensas por errores. El programa cubre varios servicios para investigadores e incluye recompensas especiales y bonificaciones además de una recompensa de premio de hasta $ 8000 por una vulnerabilidad crítica en sus productos comerciales.

Cuadrado

Square es una aplicación de punto de venta disponible para teléfonos inteligentes. Para cualquier informe de vulnerabilidad grave para su aplicación/sitio web, ofrece hasta $ 5000 como recompensa a través de su programa de recompensas por errores en Bugcrowd.

nintendo

El programa de recompensas por errores de Nintendo te permite encontrar problemas que permiten a los jugadores hacer trampa, piratear los juegos y otros problemas técnicos.

Las recompensas pueden llegar hasta $ 12,000.

base de monedas

Coinbase es una plataforma de intercambio de criptomonedas dominante. Ofrece un programa de recompensas por errores a través de HackerOne que ofrece recompensas de hasta $ 50,000.

Llamarada de la nube

recompensa de errores de Cloudflare

Cloudflare ofrece la mayoría de los servicios importantes que ayudan a las empresas de Internet a proteger y mejorar sus ofertas en la web. Su programa de recompensas por errores en HackerOne describe varios problemas que un investigador puede buscar, junto con enlaces a toda la documentación necesaria.

Las recompensas pueden llegar hasta $ 3000 por problemas graves.

ExpressVPN

Podría decirse que el programa de recompensas por errores de ExpressVPN es el más grande entre otros proveedores de servicios VPN.

Junto con las recompensas habituales de hasta $2500, también ofrece una bonificación única de hasta $1,00,000 si es el primero en informar una vulnerabilidad de ejecución remota de código o algo que filtra las direcciones IP de los clientes.

La búsqueda de errores, recompensas y reconocimiento

Teniendo en cuenta que un programa de recompensas por errores brinda a los piratas informáticos éticos un campo de juego para probar sus habilidades, parece una buena idea para cualquier investigador independiente y la empresa mejorar sus ofertas.

Es increíblemente importante seguir las reglas/directrices mencionadas en el programa de recompensas por errores. Si no cumple con los criterios, perderá tiempo y su informe no calificará para una recompensa.

También te puede interesar Campos de entrenamiento para hackers éticos.