26 programmi Bug Bounty delle più grandi aziende tecnologiche del mondo

Pubblicato: 2022-02-17

Un programma di ricompense dei bug aiuta i siti Web, i servizi e le organizzazioni a trovare problemi (bug e vulnerabilità) nelle loro offerte.

Ma come succede? Che cos'è? Perché le organizzazioni li hanno?

Qui ne discuteremo, insieme a un elenco di piattaforme di ricompense di bug create da alcune delle più grandi aziende tecnologiche del mondo.

Che cos'è un programma Bug Bounty?

Un programma di ricompense dei bug premia i ricercatori indipendenti e gli hacker etici quando trovano un bug o una vulnerabilità di sicurezza in un servizio/sito web.

Un programma di ricompense dei bug è un luogo perfetto per i ricercatori di sicurezza o gli hacker per mettere alla prova le proprie abilità. Dà la sensazione di una competizione pubblica e di una corsa per i soldi con le tue abilità.

Secondo le tue attività, potrebbe finire per essere un lavoro a tempo pieno per te. E, per alcuni, può essere un concerto laterale gratificante.

In genere, queste piattaforme offrono enormi premi in denaro se segnali un problema grave nel loro servizio.

È anche importante notare che ci sono due diverse piattaforme di bug bounty. Alcune aziende preferiscono costruire la propria piattaforma, mentre altre utilizzano piattaforme di bug bounty di terze parti esistenti per aggiungere obiettivi/compiti per il premio menzionato.

Tuttavia, alcuni hanno una serie di requisiti minimi per la qualificazione di un rapporto. Quindi, non tutti i bug segnalati ti daranno ricompense.

Sarebbe utile seguire le regole o le linee guida di un programma di ricompense dei bug prima di decidere di investire tempo in esso.

Perché le organizzazioni hanno piattaforme Bug Bounty?

taglia di insetti

Ora sai che un programma di ricompense dei bug consente a qualsiasi organizzazione di coinvolgere ricercatori di sicurezza indipendenti (o professionisti che non impiegano direttamente) per trovare bug e vulnerabilità nel loro prodotto/sito web.

Ma perché è necessario un programma di bug bounty per le grandi aziende?

Non hanno già dipendenti qualificati che migliorano costantemente il servizio?

Tecnicamente sì. Tuttavia, l'obiettivo della creazione di una piattaforma di ricompense dei bug è far sì che più ricercatori di sicurezza controllino o testino il loro servizio (gratuitamente).

Esattamente.

L'intera comunità di hacker e ricercatori etici testa i loro servizi e fornisce loro feedback attraverso rapporti.

Non devono pagare una tariffa anticipata per il loro lavoro.

L'azienda paga una ricompensa (spesso redditizia) solo quando un individuo invia un bug valido o un rapporto di sicurezza.

Nel complesso, un programma di ricompense di bug è redditizio per le aziende per migliorare il proprio prodotto ed è ugualmente gratificante per hacker e ricercatori etici.

Quindi, è uno scenario vantaggioso per tutti.

I più grandi programmi di ricompense di bug

taglia di insetti

Ci sono innumerevoli programmi di ricompense di bug in tutto il mondo. Qui, ci atteniamo ad alcuni dei programmi più importanti disponibili.

Tieni presente che ogni programma ha regole diverse per l'idoneità e i premi. Alcuni offrono premi e riconoscimenti per problemi basati su software e altri per hardware. Quindi, assicurati di controllare i criteri di ammissibilità, le regole del rapporto di qualificazione e il tipo di vulnerabilità idonee per il premio.

Taglia di sicurezza Apple

Apple Security Bounty è una delle più grandi piattaforme per hacker etici. Offre ricompense fino a $ 1.000.000 (un milione di dollari) per vari problemi di sicurezza su iCloud e sui suoi smartphone.

Non solo limitarsi al premio premio, ma essere coinvolti con Apple pur avendo un rapporto di successo dovrebbe darti un buon riconoscimento pubblico per il tuo lavoro.

Abbinano anche i pagamenti delle taglie ad alcuni enti di beneficenza qualificati, il che è positivo.

Taglia di meta bug

Meta, precedentemente Facebook, ha anche il suo programma di ricompense di bug, alias Whitehat.

Il denaro della ricompensa può arrivare fino a $ 45.000. In base alla gravità del bug, il premio in denaro può essere molto più alto (o molto meno).

Meta pubblica pubblicamente il nome di tutti i ricercatori di sicurezza per ringraziarli. Puoi trovare crediti per ricercatori dal 2011 in poi.

Oltre a ciò, offrono anche un programma fedeltà che ti aiuta a moltiplicare i tuoi premi (fino al 20%) e guadagnare viaggi/viaggi sponsorizzati da Meta per eventi hacker.

Bug Hunters di Google

Il programma di ricompense di Bug Hunters ti consente di segnalare problemi su più domini/servizi di Google (YouTube, Blogger, ecc.)

I premi possono arrivare fino a $ 30.000 e più per rapporti speciali.

Sono inoltre dotati di una piattaforma di apprendimento in cui puoi trarre ispirazione/obiettivi da esempi esistenti e imparare mentre procedi.

Taglia bug Microsoft

taglia di bug di Microsoft

Il programma Microsoft bug bounty offre ampie opportunità per contribuire e ottenere riconoscimenti per il tuo lavoro.

I premi possono arrivare fino a $ 1 milione o più in base alla gravità e al tipo di segnalazione.

Mozilla Security Bug Bounty

Il programma di sicurezza di Mozilla è una piattaforma interessante per i ricercatori. Sebbene non rivelino pubblicamente le aspettative del premio in denaro, ottieni il tuo nome in un elenco di Hall of Fame.

Twitter

A differenza di altri, Twitter utilizza una piattaforma di ricompense di bug di terze parti per consentire ai ricercatori di unirsi. La taglia minima parte da $ 280 e può arrivare fino a $ 20.000.

Include anche una hall of fame sulla piattaforma HackerOne per ringraziare i ricercatori idonei.

Uber

Il programma di ricompense dei bug di Uber si basa anche su HackerOne, dove puoi ottenere fino a $ 15.000 per rapporti critici e ottenere il tuo nome nella hall of fame.

Tesla

Il programma di ricompense dei bug di Tesla può essere trovato su Bugcrowd, l'ennesima piattaforma di ricompense dei bug di terze parti.

I premi possono variare fino a $ 15.000 per vulnerabilità secondo i criteri di idoneità.

Taglia di bug Intel

Il programma di ricompense dei bug di Intel può essere trovato elencato nella piattaforma initigriti. È un'opportunità gratificante per i ricercatori trovare problemi di software, firmware e hardware Intel.

I premi possono arrivare fino a $ 100.000.

Tencent Security Response Center

Il programma di ricompense dei bug di Tencent copre varie risorse come WeChat, QQ, il sito Web di Tencent, i domini e molte altre applicazioni di loro proprietà.

I premi potrebbero non essere i più alti, fino a $ 3800 per le informazioni essenziali; ottieni una tavola da Hall of Fame.

Programma premi Samsung

Samsung Rewards Program è il programma di ricompense dei bug per i prodotti mobili Samsung.

Considerando che il tuo rapporto è idoneo, il premio può arrivare fino a $ 2.00.000 e oltre in base alla gravità del problema. Sebbene tu possa segnalarlo utilizzando il suo sito Web ufficiale, si affidano a Bugcrowd per elaborare i pagamenti e contattare il ricercatore.

Cisco Meraki

Il prodotto/offerta di Cisco che si occupa di Wi-Fi, routing e sicurezza controllati dal cloud incentrati sull'azienda utilizza Bugcrowd per il suo programma di ricompense dei bug. Considerandolo come un'offerta specializzata, il lavoro/le competenze necessarie per scoprire i problemi possono essere stimolanti o eccitanti.

I premi possono arrivare fino a $ 10.000 per problemi gravi.

Taglia di bug di Netflix

taglia di bug di netflix

Il programma di ricompense dei bug di Netflix può essere trovato anche su Bugcrowd, dove elenca tutti i suoi domini/servizi che sono idonei per i test/report.

I premi possono arrivare fino a $ 20.000 per vulnerabilità.

PayPal

Il programma bug bounty di Paypal utilizza la piattaforma HackerOne. Inoltre, per poter partecipare è necessaria l'autenticazione a due fattori.

I premi possono arrivare fino a $ 20.000 per i rapporti di vulnerabilità critiche.

Intuit Bug Bounty

Intuit, l'azienda dietro prodotti come QuickBooks, TurboTax, Mint, ecc., offre la possibilità di inviare una segnalazione utilizzando un modulo sul suo sito Web ufficiale e anche HackerOne.

Con HackerOne, il programma bug bounty è privato. Quindi, dovrai accedere al tuo account per verificare e partecipare.

Shopify

Essendo una delle piattaforme di eCommerce più popolari, il programma di ricompense dei bug di Shopify su HackerOne può pagare fino a $ 50.000 di ricompensa per una grave vulnerabilità.

Alibaba

Il programma BugBounty di Alibaba copre la maggior parte dei siti Web/servizi che possiede. Puoi inviare il rapporto sulla vulnerabilità dal suo sito Web ufficiale e aspettarti ricompense fino a $ 2500.

nuvola di suoni

Una delle più grandi piattaforme audio aperte, Soundcloud offre un programma di ricompense di bug basato su Bugcrowd con premi fino a $ 4500 in caso di segnalazioni di gravi vulnerabilità.

Otterrai la solita hall of fame con bugcrowd.

Airbnb

Airbnb offre premi fino a $ 15.000 attraverso la piattaforma di ricompense dei bug di HackerOne. Tiene anche promozioni per incoraggiare gli hacker a lavorare su nuove vulnerabilità critiche offrendo al contempo un bonus del 50%.

Booking.com

Booking.com non rivela alcun dettaglio particolare (tranne i domini idonei) su HackerOne.

Puoi contattare il loro team di sicurezza tramite il programma di assistenza alla divulgazione di HackerOne.

Xiaomi

taglia di bug xiaomi

Xiaomi utilizza HackerOne per il suo programma di ricompense dei bug. Il programma copre diversi servizi per i ricercatori e include premi e bonus speciali oltre a un premio fino a $ 8000 per una vulnerabilità critica nei loro prodotti aziendali.

Piazza

Square è un'applicazione per punti vendita disponibile per smartphone. Per qualsiasi segnalazione di vulnerabilità grave per la sua app/sito web, offre fino a $ 5000 come ricompensa attraverso il suo programma di ricompense di bug su Bugcrowd.

Nintendo

Il programma di ricompense dei bug di Nintendo ti consente di trovare problemi che consentono ai giocatori di imbrogliare, piratare i giochi e altri problemi tecnici.

I premi possono arrivare fino a $ 12.000.

Coinbase

Coinbase è una piattaforma di scambio di criptovaluta dominante. Offre un programma di ricompense di bug tramite HackerOne che offre ricompense fino a $ 50.000.

Cloudflare

taglia di bug cloudflare

Cloudflare offre la maggior parte dei servizi importanti che aiutano le aziende Internet a proteggere e migliorare le loro offerte sul web. Il suo programma bug bounty su HackerOne descrive vari problemi che un ricercatore può cercare, insieme a collegamenti a tutta la documentazione necessaria.

I premi possono arrivare fino a $ 3000 per problemi gravi.

ExpressVPN

Il programma di ricompense dei bug di ExpressVPN è probabilmente il più grande tra gli altri fornitori di servizi VPN.

Insieme ai soliti premi fino a $ 2500, fornisce anche un bonus una tantum fino a $ 1.00.000 se sei il primo a segnalare una vulnerabilità di esecuzione di codice in modalità remota o qualcosa che perde gli indirizzi IP dei client.

La caccia a bug, ricompense e riconoscimenti

Considerando che un programma di ricompense dei bug offre agli hacker etici un terreno di gioco per testare le proprie abilità, sembra una buona idea per qualsiasi ricercatore indipendente e per l'azienda migliorare le proprie offerte.

È incredibilmente importante seguire le regole/linee guida menzionate nel programma di ricompense dei bug. Se non soddisfi i criteri, perderai tempo e la tua segnalazione non si qualificherà per un premio.

Potresti anche essere interessato a Campi di addestramento per hacker etici.