26 программ Bug Bounty от крупнейших технологических компаний мира

Программа вознаграждения за обнаружение ошибок помогает веб-сайтам, службам и организациям находить проблемы (ошибки и уязвимости) в своих предложениях.

Но как это происходит? Что это? Зачем они нужны организациям?

Здесь мы обсудим это вместе со списком платформ для поиска ошибок, созданных некоторыми из крупнейших мировых технологических компаний.

Что такое программа Bug Bounty?

Программа вознаграждения за ошибки вознаграждает независимых исследователей и этичных хакеров, когда они находят ошибку или уязвимость в системе безопасности в сервисе/веб-сайте.

Программа Bug Bounty — идеальное место для исследователей безопасности или хакеров, чтобы проверить свои навыки. Это дает ощущение публичного соревнования и погони за деньгами с вашими навыками.

В зависимости от вашей деятельности, это может стать для вас работой на полный рабочий день. А для кого-то это может быть полезной побочной работой.

Как правило, эти платформы предлагают огромные денежные призы, если вы сообщаете о серьезной проблеме в их сервисе.

Также важно отметить, что существуют две разные платформы для вознаграждения за обнаружение ошибок. Некоторые компании предпочитают создавать свою платформу, в то время как другие используют существующие сторонние платформы баг-баунти, чтобы добавлять цели/задачи за упомянутое вознаграждение.

Тем не менее, у некоторых есть набор минимальных требований для того, чтобы отчет соответствовал требованиям. Таким образом, не каждая ошибка, о которой вы сообщаете, принесет вам вознаграждение.

Было бы полезно, если бы вы ознакомились с правилами или рекомендациями программы вознаграждения за обнаружение ошибок, прежде чем принять решение инвестировать в нее время.

Почему у организаций есть платформы Bug Bounty?

Теперь вы знаете, что программа вознаграждения за обнаружение ошибок позволяет любой организации привлекать независимых исследователей безопасности (или специалистов, которых они не нанимают напрямую) для поиска ошибок и уязвимостей в своем продукте/веб-сайте.

Но зачем крупным компаниям нужна программа Bug Bounty?

Разве у них уже нет квалифицированных сотрудников, которые постоянно улучшают сервис?

Технически, да. Но цель создания платформы Bug Bounty состоит в том, чтобы больше исследователей безопасности проверяли или тестировали свои услуги (бесплатно).

В яблочко.

Все сообщество этичных хакеров и исследователей тестирует свои услуги и дает им обратную связь в виде отчетов.

Им не нужно платить аванс за свою работу.

Компания выплачивает вознаграждение (часто прибыльное) только тогда, когда человек отправляет действительный отчет об ошибке или отчет о безопасности.

В целом, программа Bug Bounty выгодна компаниям для улучшения своего продукта, и она в равной степени полезна для этичных хакеров и исследователей.

Таким образом, это беспроигрышный сценарий.

Крупнейшие программы вознаграждения за обнаружение ошибок

По всему миру существует бесчисленное множество программ вознаграждения за обнаружение ошибок. Здесь мы придерживаемся некоторых из самых известных доступных программ.

Обратите внимание, что каждая программа имеет разные правила участия и вознаграждений. Некоторые предлагают вознаграждение и признание за проблемы, связанные с программным обеспечением, а некоторые — за аппаратное обеспечение. Поэтому обязательно ознакомьтесь с критериями приемлемости, правилами составления отчетов и типами уязвимостей, которые могут претендовать на приз.

Награда за безопасность Apple

Apple Security Bounty — одна из крупнейших платформ для этичных хакеров. Он предлагает вознаграждение до 1 000 000 долларов (миллион долларов) за различные проблемы с безопасностью в iCloud и его смартфонах.

Не только награда, но и сотрудничество с Apple при успешном отчете должно дать вам общественное признание вашей работы.

Они также соответствуют выплатам за вознаграждение нескольким подходящим благотворительным организациям, что хорошо.

Награда за мета-ошибки

Meta, ранее известная как Facebook, также имеет свою программу вознаграждения за обнаружение ошибок, также известную как Whitehat.

Вознаграждение может доходить до 45 000 долларов. В зависимости от серьезности ошибки призовой фонд может быть намного больше (или намного меньше).

Meta публично публикует имена всех исследователей безопасности, чтобы поблагодарить их. Вы можете найти кредиты исследователям с 2011 года и ранее.

В дополнение к этому, они также предлагают программу лояльности, которая поможет вам увеличить ваши вознаграждения (до 20%) и заработать спонсорские поездки/поездки на хакерские мероприятия от Meta.

Охотники за ошибками от Google

Программа вознаграждений Bug Hunters позволяет вам сообщать о проблемах в нескольких доменах/службах Google (YouTube, Blogger и т. д.).

Вознаграждения могут доходить до 30 000 долларов и более за специальные отчеты.

Они также имеют учебную платформу, где вы можете черпать вдохновение/цели из существующих примеров и учиться на ходу.

Награда за обнаружение ошибок Майкрософт

Программа Microsoft Bug Bounty предоставляет широкие возможности внести свой вклад и получить признание за свою работу.

Вознаграждение может доходить до 1 миллиона долларов и более в зависимости от серьезности и типа отчета.

Mozilla Security Bug Bounty

Программа безопасности Mozilla — захватывающая платформа для исследователей. Хотя они публично не разглашают ожидаемые призовые, вы попадаете в список Зала славы.

Твиттер

В отличие от других, Twitter использует стороннюю платформу вознаграждения за ошибки, чтобы позволить исследователям присоединиться. Минимальная награда начинается с 280 долларов и может доходить до 20 000 долларов.

Он также включает в себя зал славы на платформе HackerOne, чтобы поблагодарить подходящих исследователей.

Убер

Программа поощрения ошибок Uber также опирается на HackerOne, где вы можете получить до 15 000 долларов за критические отчеты и внести свое имя в зал славы.

Тесла

Программу поощрения ошибок Tesla можно найти на Bugcrowd, еще одной сторонней платформе по поиску ошибок.

Награды могут варьироваться до 15 000 долларов США за уязвимость в соответствии с критериями приемлемости.

Награда за обнаружение ошибок Intel

Программу вознаграждения за обнаружение ошибок Intel можно найти в списке на платформе initigriti. Это полезная возможность для исследователей найти проблемы с программным обеспечением, прошивкой и аппаратным обеспечением Intel.

Награды могут доходить до 100 000 долларов.

Центр реагирования на вопросы безопасности Tencent

Программа вознаграждения за ошибки Tencent охватывает различные активы, такие как WeChat, QQ, веб-сайт Tencent, домены и несколько других приложений, принадлежащих им.

Вознаграждение может быть не самым высоким, до 3800 долларов за существенное раскрытие информации; вы получаете доску Зала славы.

Бонусная программа Самсунг

Программа Samsung Rewards — это программа поиска ошибок в мобильных продуктах Samsung.

Учитывая, что ваш отчет соответствует требованиям, вознаграждение может достигать 2 000 000 долларов США и более в зависимости от серьезности проблемы. Хотя вы можете сообщить об этом, используя официальный сайт, они полагаются на Bugcrowd для обработки платежей и связи с исследователем.

Сиско Мераки

Продукт/предложение Cisco, предназначенное для корпоративного облачного Wi-Fi, маршрутизации и безопасности, использует Bugcrowd для своей программы вознаграждения за обнаружение ошибок. Если рассматривать это как специализированное предложение, работа/навыки, необходимые для выявления проблем, могут быть сложными или захватывающими.

Вознаграждение может доходить до 10 000 долларов за серьезные проблемы.

Награда за обнаружение ошибок Netflix

Программу вознаграждения за ошибки Netflix также можно найти на Bugcrowd, где они перечисляют все свои домены/сервисы, которые имеют право на тестирование/отчеты.

Вознаграждение может доходить до 20 000 долларов за уязвимость.

PayPal

Программа Paypal по поиску ошибок использует платформу HackerOne. Кроме того, для участия необходимо включить двухфакторную аутентификацию.

Вознаграждение может доходить до 20 000 долларов за отчеты о критических уязвимостях.

Интуитивное вознаграждение за обнаружение ошибок

Intuit, компания, разрабатывающая такие продукты, как QuickBooks, TurboTax, Mint и т. д., предлагает возможность отправить отчет, используя форму на своем официальном сайте, а также HackerOne.

С HackerOne программа вознаграждения за обнаружение ошибок является частной. Итак, вам нужно будет войти в свою учетную запись, чтобы подтвердить и принять участие.

Shopify

Будучи одной из самых популярных платформ электронной коммерции, программа Shopify по вознаграждению за обнаружение ошибок на HackerOne может выплачивать вознаграждение до 50 000 долларов за серьезную уязвимость.

Алибаба

Программа Alibaba BugBounty распространяется на большинство принадлежащих ей веб-сайтов/сервисов. Вы можете отправить отчет об уязвимости с официального сайта и ожидать вознаграждения до 2500 долларов.

Саундклауд

Soundcloud, одна из крупнейших открытых аудиоплатформ, предлагает программу вознаграждений за ошибки на основе Bugcrowd с вознаграждением до 4500 долларов США в случае сообщений о серьезных уязвимостях.

Вы получите обычный зал славы с bugcrowd.

Airbnb

Airbnb предлагает вознаграждение до 15 000 долларов США через платформу вознаграждения за обнаружение ошибок HackerOne. Он также проводит акции, чтобы побудить хакеров работать над новыми критическими уязвимостями, предлагая бонус 50%.

Booking.com

Booking.com не раскрывает никаких подробностей (кроме подходящих доменов) о HackerOne.

Вы можете связаться с их командой безопасности через программу раскрытия информации HackerOne.

Сяоми

Xiaomi использует HackerOne для своей программы вознаграждения за обнаружение ошибок. Программа охватывает несколько услуг для исследователей и включает в себя специальные вознаграждения и бонусы в дополнение к призовому вознаграждению до 8000 долларов США за критическую уязвимость в их бизнес-продуктах.

Площадь

Square — это приложение для точек продаж, доступное для смартфонов. За любые отчеты о серьезных уязвимостях для своего приложения/веб-сайта он предлагает до 5000 долларов в качестве вознаграждения в рамках своей программы вознаграждения за обнаружение ошибок на Bugcrowd.

Нинтендо

Программа Nintendo по поиску ошибок позволяет находить проблемы, из-за которых игроки мошенничают, пиратствуют в играх и решают другие технические проблемы.

Вознаграждение может доходить до 12 000 долларов.

Коинбейс

Coinbase является доминирующей платформой для обмена криптовалютами. Он предлагает программу вознаграждения за ошибки через HackerOne, предлагая вознаграждение до 50 000 долларов.

Облачная вспышка

Cloudflare предлагает большинство важных услуг, которые помогают интернет-компаниям защищать и улучшать свои предложения в Интернете. Его программа вознаграждения за ошибки на HackerOne описывает различные проблемы, которые может искать исследователь, а также ссылки на всю необходимую документацию.

Вознаграждение может доходить до 3000 долларов за серьезные проблемы.

ЭкспрессVPN

Программа поощрения ошибок ExpressVPN, пожалуй, самая крупная среди других поставщиков услуг VPN.

Наряду с обычным вознаграждением в размере до 2500 долларов, он также предоставляет единовременный бонус до 1 00 000 долларов, если вы первым сообщите об уязвимости удаленного выполнения кода или о чем-то, что приводит к утечке IP-адресов клиентов.

Охота за ошибками, награды и признание

Учитывая, что программа Bug Bounty дает этическим хакерам площадку для проверки своих навыков, это звучит как хорошая идея для любого независимого исследователя и компании улучшить свои предложения.

Невероятно важно следовать правилам/рекомендациям, упомянутым в программе вознаграждения за обнаружение ошибок. Если вы не соответствуете критериям, вы потратите время впустую, и ваш отчет не будет претендовать на вознаграждение.

Вас также могут заинтересовать Тренировочные площадки для этичных хакеров.