26 programów Bug Bounty największych światowych firm technologicznych

Opublikowany: 2022-02-17

Program bug bounty pomaga witrynom, usługom i organizacjom znaleźć problemy (błędy i luki) w ich ofertach.

Ale jak to się dzieje? Co to jest? Dlaczego organizacje je mają?

Tutaj omówimy to wraz z listą platform bug bounty zbudowanych przez niektóre z największych światowych firm technologicznych.

Co to jest program Bug Bounty?

Program bug bounty nagradza niezależnych badaczy i etycznych hakerów, gdy znajdą błąd lub lukę w zabezpieczeniach usługi/strony internetowej.

Program bug bounty to idealne miejsce dla badaczy bezpieczeństwa lub hakerów do sprawdzenia swoich umiejętności. Daje poczucie publicznej rywalizacji i wyścigu o pieniądze z twoimi umiejętnościami.

Zgodnie z twoimi zajęciami może to być dla ciebie praca na pełen etat. A dla niektórych może to być satysfakcjonujący występ poboczny.

Ogólnie rzecz biorąc, platformy te oferują ogromne nagrody pieniężne, jeśli zgłosisz poważny problem z ich obsługą.

Należy również zauważyć, że istnieją dwie różne platformy nagród za błędy. Niektóre firmy wolą budować swoją platformę, podczas gdy inne używają istniejących zewnętrznych platform bug bounty, aby dodawać cele/zadania do wspomnianej nagrody.

Jednak niektóre mają zestaw minimalnych wymagań, aby raport się kwalifikował. Tak więc nie każdy zgłaszany błąd zapewni Ci nagrody.

Pomogłoby, gdybyś zapoznał się z zasadami lub wytycznymi programu bug bounty przed podjęciem decyzji o zainwestowaniu w niego czasu.

Dlaczego organizacje mają platformy Bug Bounty?

nagroda za błąd

Teraz już wiesz, że program bug bounty pozwala każdej organizacji zaangażować niezależnych badaczy bezpieczeństwa (lub specjalistów, których nie zatrudniają bezpośrednio), aby znaleźć błędy i luki w ich produkcie/witrynie.

Ale dlaczego program bug bounty jest niezbędny dla dużych firm?

Czy nie mają już wykwalifikowanych pracowników, którzy stale ulepszają usługę?

Technicznie tak. Jednak celem stworzenia platformy bug bounty jest umożliwienie większej liczbie badaczy bezpieczeństwa audytowania lub testowania ich usług (za darmo).

Dokładnie.

Cała społeczność etycznych hakerów i badaczy testuje swoje usługi i przekazuje im informacje zwrotne w postaci raportów.

Nie muszą płacić z góry za swoją pracę.

Firma płaci nagrodę (często lukratywną) tylko wtedy, gdy dana osoba prześle ważny raport o błędzie lub bezpieczeństwie.

Ogólnie rzecz biorąc, program bug bounty jest opłacalny dla firm w celu ulepszania swoich produktów i jest równie satysfakcjonujący dla etycznych hakerów i badaczy.

Jest to więc scenariusz, w którym wszyscy wygrywają.

Największe programy Bug Bounty

nagroda za błąd

Na całym świecie istnieje niezliczona ilość programów bug bounty. Tutaj trzymamy się niektórych z najbardziej znanych dostępnych programów.

Pamiętaj, że każdy program ma inne zasady kwalifikacji i nagród. Niektóre oferują nagrody i uznanie za problemy związane z oprogramowaniem, a inne za sprzęt. Dlatego upewnij się, że sprawdziłeś kryteria kwalifikacyjne, zasady raportu kwalifikacyjnego i rodzaj luk kwalifikujących się do nagrody.

Nagroda za bezpieczeństwo Apple

Apple Security Bounty to jedna z największych platform dla etycznych hakerów. Oferuje nagrody do 1 000 000 USD (milion dolarów) za różne problemy z bezpieczeństwem w iCloud i jego smartfonach.

Nie ogranicza się tylko do nagrody, ale zaangażowanie się w firmę Apple przy udanym raporcie powinno zapewnić publiczne uznanie dla Twojej pracy.

Dopasowują również wypłaty nagród do kilku kwalifikujących się organizacji charytatywnych, co jest dobre.

Zlecenie za Meta Bug

Meta, dawniej Facebook, ma również swój program bug bounty, czyli Whitehat.

Pieniądze z nagrody mogą wzrosnąć do 45 000 $. Zgodnie z powagą błędu nagroda pieniężna może być znacznie większa (lub znacznie mniejsza).

Meta publikuje publicznie nazwiska wszystkich badaczy bezpieczeństwa, aby im podziękować. Możesz znaleźć kredyty dla naukowców od 2011 roku i wcześniej.

Oprócz tego oferują również program lojalnościowy, który pomaga pomnażać nagrody (do 20%) i zdobywać sponsorowane podróże/wyjazdy na wydarzenia hakerskie przez Meta.

Łowcy błędów od Google

Program nagród Bug Hunters umożliwia zgłaszanie problemów w wielu domenach/usługach przez Google (YouTube, Blogger itp.)

Nagrody mogą wzrosnąć do 30 000 USD i więcej za raporty specjalne.

Zawierają również platformę edukacyjną, na której możesz czerpać inspiracje/cele z istniejących przykładów i uczyć się na bieżąco.

Microsoft Bug Bounty

Nagroda za błąd w Microsoft

Program Microsoft bug bounty zapewnia wiele możliwości wniesienia wkładu i zdobycia uznania za swoją pracę.

Nagrody mogą wzrosnąć do 1 miliona dolarów lub więcej, w zależności od wagi i rodzaju raportu.

Mozilla Security Bug Bounty

Program bezpieczeństwa Mozilli to ekscytująca platforma dla badaczy. Chociaż nie ujawniają publicznie oczekiwań w zakresie nagrody pieniężnej, Twoje imię i nazwisko pojawia się na liście w galerii sław.

Świergot

W przeciwieństwie do innych, Twitter wykorzystuje platformę bug bounty innej firmy, aby umożliwić naukowcom dołączenie. Minimalna nagroda zaczyna się od 280 $ i może wzrosnąć do 20 000 $.

Zawiera również galerię sław na platformie HackerOne, aby podziękować uprawnionym naukowcom.

Uber

Program Uber bug bounty opiera się również na HackerOne, gdzie możesz otrzymać do 15 000 USD za krytyczne raporty i umieścić swoje nazwisko w galerii sław.

Tesla

Program bug bounty Tesli można znaleźć na Bugcrowd, kolejnej platformie bounty innej firmy.

Nagrody mogą wynosić do 15 000 USD na lukę zgodnie z kryteriami kwalifikacyjnymi.

Intel Bug Bount

Program bug bounty firmy Intel można znaleźć na platformie initigriti. Dla naukowców jest to satysfakcjonująca okazja do znalezienia problemów z oprogramowaniem, oprogramowaniem sprzętowym i sprzętem firmy Intel.

Nagrody mogą wzrosnąć do 100 000 USD.

Tencent Security Response Center

Program bug bounty firmy Tencent obejmuje różne zasoby, takie jak WeChat, QQ, witryna internetowa firmy Tencent, domeny i kilka innych należących do nich aplikacji.

Nagrody mogą nie być najwyższe, sięgając 3800 USD za niezbędne ujawnienia; dostajesz tablicę sławy.

Program nagród Samsung

Samsung Rewards Program to program bug bounty dla produktów mobilnych firmy Samsung.

Biorąc pod uwagę, że Twój raport kwalifikuje się, nagroda może wzrosnąć do 2 000 000 USD i więcej, w zależności od powagi problemu. Chociaż możesz to zgłosić za pomocą oficjalnej strony internetowej, firma Bugcrowd polega na przetwarzaniu płatności i kontaktowaniu się z badaczem.

Cisco Meraki

Produkt/oferta Cisco, która zajmuje się skoncentrowaną na przedsiębiorstwie chmurą Wi-Fi, routingiem i bezpieczeństwem, wykorzystuje Bugcrowd do swojego programu bug bounty. Biorąc pod uwagę, że jest to oferta specjalistyczna, praca/umiejętności potrzebne do wykrycia problemów mogą być trudne lub ekscytujące.

Nagrody mogą wzrosnąć do 10 000 USD za poważne problemy.

Netfliksowa nagroda za błęd

Nagroda za błąd netflixa

Program bug bounty Netflixa można również znaleźć na Bugcrowd, gdzie wymieniają wszystkie swoje domeny/usługi, które kwalifikują się do testowania/zgłaszania.

Nagrody mogą wzrosnąć do 20 000 USD za każdą lukę.

PayPal

Program bug bounty firmy Paypal wykorzystuje platformę HackerOne. Ponadto, aby móc uczestniczyć, potrzebne jest uwierzytelnianie dwuskładnikowe.

Nagrody mogą wzrosnąć do 20 000 USD za raporty o krytycznych podatnościach.

Intuicyjne zlecenie robactwa

Intuit, firma stojąca za takimi produktami jak QuickBooks, TurboTax, Mint itp., oferuje możliwość złożenia raportu za pomocą formularza na swojej oficjalnej stronie internetowej, a także HackerOne.

W przypadku HackerOne program bug bounty jest prywatny. Musisz więc zalogować się na swoje konto, aby zweryfikować i wziąć udział.

Shopify

Będąc jedną z najpopularniejszych platform eCommerce, program Shopify za bug bounty na HackerOne może zapłacić do 50 000 USD nagrody za poważną lukę.

Alibaba

Program BugBounty Alibaba obejmuje większość posiadanych witryn/usług. Możesz przesłać raport o luce z jego oficjalnej strony internetowej i oczekiwać nagród do 2500 USD.

SoundCloud

Jedna z największych otwartych platform audio, Soundcloud, oferuje program bug bounty oparty na Bugcrowd z nagrodami w wysokości do 4500 USD w przypadku poważnych zgłoszeń luk w zabezpieczeniach.

Otrzymasz zwykłą galerię sław z robalowym tłumem.

Airbnb

Airbnb oferuje nagrody w wysokości do 15 000 USD za pośrednictwem platformy bug bounty HackerOne. Zawiera również promocje zachęcające hakerów do pracy nad nowymi krytycznymi lukami w zabezpieczeniach, oferując jednocześnie 50% premii.

Booking.com

Booking.com nie ujawnia żadnych szczegółowych informacji (z wyjątkiem kwalifikujących się domen) na HackerOne.

Możesz skontaktować się z ich zespołem ds. bezpieczeństwa za pośrednictwem programu pomocy HackerOne w zakresie ujawniania informacji.

Xiaomi

xiaomi nagroda za błąd

Xiaomi wykorzystuje HackerOne do swojego programu bug bounty. Program obejmuje kilka usług dla badaczy i obejmuje specjalne nagrody i premie oprócz nagrody w wysokości do 8000 USD za krytyczną lukę w ich produktach biznesowych.

Kwadrat

Square to aplikacja do obsługi punktów sprzedaży dostępna na smartfony. W przypadku jakichkolwiek poważnych zgłoszeń dotyczących luk w zabezpieczeniach swojej aplikacji/strony internetowej oferuje do 5000 USD jako nagrodę w ramach programu bug bounty na Bugcrowd.

Nintendo

Program nagród za błędy firmy Nintendo pozwala znaleźć problemy, które pozwalają graczom oszukiwać, pirackie gry i inne problemy techniczne.

Nagrody mogą wzrosnąć do 12 000 $.

Baza monet

Coinbase to dominująca platforma wymiany kryptowalut. Oferuje program bug bounty za pośrednictwem HackerOne, oferując nagrody do 50 000 $.

Cloudflare

nagroda za błąd w chmurze

Cloudflare oferuje większość ważnych usług, które pomagają firmom internetowym chronić i ulepszać ich oferty w sieci. Jego program bug bounty na HackerOne opisuje różne problemy, których może szukać badacz, wraz z linkami do całej niezbędnej dokumentacji.

Nagrody mogą wzrosnąć do 3000 $ za poważne problemy.

ExpressVPN

Program nagród za błędy ExpressVPN jest prawdopodobnie największym spośród innych dostawców usług VPN.

Wraz ze zwykłymi nagrodami w wysokości do 2500 USD, zapewnia również jednorazową premię w wysokości do 1 000 000 USD, jeśli jako pierwszy zgłosisz lukę w zabezpieczeniach zdalnego wykonania kodu lub coś, co powoduje wyciek adresów IP klientów.

Polowanie na błędy, nagrody i uznanie

Biorąc pod uwagę, że program bug bounty daje etycznym hakerom pole do przetestowania ich umiejętności, wydaje się, że każdy niezależny badacz i firma mogą udoskonalić swoją ofertę.

Niezwykle ważne jest przestrzeganie zasad/wytycznych wymienionych w programie bug bounty. Jeśli nie spełnisz kryteriów, zmarnujesz czas, a Twój raport nie zakwalifikuje się do nagrody.

Możesz być również zainteresowany Poligonami dla etycznych hakerów.