26 Bug Bounty Programs โดยบริษัทเทคโนโลยีรายใหญ่ที่สุดของโลก

เผยแพร่แล้ว: 2022-02-17

โปรแกรมหาจุดบกพร่องช่วยให้เว็บไซต์ บริการ และองค์กรพบปัญหา (ข้อบกพร่องและช่องโหว่) ในข้อเสนอของตน

แต่มันเกิดขึ้นได้อย่างไร? มันคืออะไร? ทำไมองค์กรถึงมีพวกเขา?

ในที่นี้ เราจะพูดถึงเรื่องนี้ พร้อมกับรายชื่อแพลตฟอร์ม Bug Bounty ที่สร้างโดยบริษัทเทคโนโลยีรายใหญ่ที่สุดของโลกบางแห่ง

โปรแกรม Bug Bounty คืออะไร?

โปรแกรม Bug Bounty ให้รางวัลแก่นักวิจัยอิสระและแฮกเกอร์ที่มีจริยธรรมเมื่อพวกเขาพบจุดบกพร่องหรือช่องโหว่ด้านความปลอดภัยในบริการ/เว็บไซต์

โปรแกรมหาข้อผิดพลาดเป็นจุดที่สมบูรณ์แบบสำหรับนักวิจัยด้านความปลอดภัยหรือแฮ็กเกอร์เพื่อทดสอบทักษะของพวกเขา มันให้ความรู้สึกของการแข่งขันสาธารณะและการวิ่งเพื่อเงินด้วยทักษะของคุณ

ตามกิจกรรมของคุณ อาจเป็นงานเต็มเวลาสำหรับคุณ และสำหรับบางคน อาจเป็นงานข้างเคียงที่คุ้มค่า

โดยทั่วไป แพลตฟอร์มเหล่านี้ให้เงินรางวัลมหาศาล หากคุณรายงานปัญหาร้ายแรงในบริการของพวกเขา

สิ่งสำคัญที่ควรทราบคือมีแพลตฟอร์มให้ค่าหัวข้อผิดพลาดสองแบบที่แตกต่างกัน บางบริษัทต้องการสร้างแพลตฟอร์มของตน ในขณะที่บางบริษัทใช้แพลตฟอร์มระบุจุดบกพร่องของบริษัทอื่นที่มีอยู่เพื่อเพิ่มวัตถุประสงค์/งานสำหรับรางวัลดังกล่าว

อย่างไรก็ตาม บางส่วนมีข้อกำหนดขั้นต่ำสำหรับรายงานเพื่อให้มีคุณสมบัติ ดังนั้น ไม่ใช่ว่าทุกจุดบกพร่องที่คุณรายงานจะได้รับรางวัล

จะช่วยได้หากคุณปฏิบัติตามกฎหรือแนวทางปฏิบัติของโปรแกรม Bug Bounty ก่อนตัดสินใจลงทุนเวลา

ทำไมองค์กรถึงมีแพลตฟอร์ม Bug Bounty?

ค่าหัวแมลง

ตอนนี้คุณทราบแล้วว่าโปรแกรม Bug Bounty ช่วยให้องค์กรใดๆ ก็ตามที่เกี่ยวข้องกับนักวิจัยด้านความปลอดภัยอิสระ (หรือผู้เชี่ยวชาญที่พวกเขาไม่ได้ว่าจ้างโดยตรง) เพื่อค้นหาจุดบกพร่องและจุดอ่อนในผลิตภัณฑ์/เว็บไซต์ของตน

แต่ทำไมโปรแกรม Bug Bounty จึงจำเป็นสำหรับบริษัทขนาดใหญ่?

พวกเขามีพนักงานที่มีทักษะซึ่งปรับปรุงบริการอย่างต่อเนื่องอยู่แล้วใช่หรือไม่

ในทางเทคนิคใช่ แต่เป้าหมายของการสร้างแพลตฟอร์ม Bug Bounty คือการให้นักวิจัยด้านความปลอดภัยตรวจสอบหรือทดสอบบริการ (ฟรี) มากขึ้น

อย่างแน่นอน.

ชุมชนแฮ็กเกอร์และนักวิจัยที่มีจริยธรรมทั้งหมดทดสอบบริการและให้ข้อเสนอแนะผ่านรายงาน

พวกเขาไม่ต้องจ่ายเงินล่วงหน้าสำหรับการทำงานของพวกเขา

บริษัทจะจ่ายรางวัล (มักมีกำไร) เฉพาะเมื่อบุคคลส่งข้อบกพร่องหรือรายงานความปลอดภัยที่ถูกต้อง

โดยรวมแล้ว โปรแกรม Bug Bounty จะสร้างผลกำไรให้กับบริษัทในการปรับปรุงผลิตภัณฑ์ของตน และให้รางวัลอย่างเท่าเทียมกันสำหรับแฮ็กเกอร์และนักวิจัยที่มีจริยธรรม

ดังนั้นจึงเป็นสถานการณ์ที่วิน-วิน

โปรแกรม Bug Bounty ที่ใหญ่ที่สุด

ค่าหัวแมลง

มีโปรแกรมหาบั๊กมากมายทั่วโลก ที่นี่เรายึดติดกับโปรแกรมที่โดดเด่นที่สุดบางโปรแกรม

โปรดทราบว่าทุกโปรแกรมมีกฎเกณฑ์สำหรับการมีสิทธิ์และรางวัลที่แตกต่างกัน ข้อเสนอบางอย่างให้รางวัลและการยอมรับสำหรับปัญหาด้านซอฟต์แวร์ และบางส่วนสำหรับฮาร์ดแวร์ ดังนั้น อย่าลืมตรวจสอบเกณฑ์คุณสมบัติ กฎการรายงานคุณสมบัติ และประเภทของช่องโหว่ที่มีสิทธิ์ได้รับรางวัล

Apple Security Bounty

Apple Security Bounty เป็นหนึ่งในแพลตฟอร์มที่ใหญ่ที่สุดสำหรับแฮกเกอร์ที่มีจริยธรรม มันให้รางวัลสูงถึง $1,000,000 (หนึ่งล้านดอลลาร์) สำหรับปัญหาด้านความปลอดภัยต่างๆ บน iCloud และสมาร์ทโฟน

ไม่เพียงแต่จำกัดรางวัลเท่านั้น แต่การมีส่วนร่วมกับ Apple ในขณะที่มีรายงานที่ประสบความสำเร็จควรให้การยอมรับจากสาธารณชนต่อผลงานของคุณเป็นอย่างดี

พวกเขายังจับคู่การจ่ายเงินรางวัลกับองค์กรการกุศลที่มีคุณสมบัติเหมาะสมสองสามแห่งซึ่งเป็นสิ่งที่ดี

Meta Bug Bounty

Meta ซึ่งเดิมคือ Facebook ยังมีโปรแกรมหาข้อผิดพลาดที่เรียกว่า Whitehat

เงินรางวัลสามารถสูงถึง $ 45,000 ตามความรุนแรงของข้อบกพร่อง เงินรางวัลอาจมีมากขึ้น (หรือน้อยกว่านั้นมาก)

Meta โพสต์ชื่อนักวิจัยด้านความปลอดภัยทั้งหมดต่อสาธารณะเพื่อขอบคุณพวกเขา คุณสามารถหาเครดิตสำหรับนักวิจัยได้ตั้งแต่ปี 2011 และก่อนหน้านั้น

นอกจากนั้น พวกเขายังเสนอโปรแกรมความภักดีที่ช่วยให้คุณทวีคูณรางวัลของคุณ (มากถึง 20%) และรับการสนับสนุนการเดินทาง/การเดินทางไปยังกิจกรรมแฮ็กเกอร์โดย Meta

นักล่าแมลงโดย Google

โปรแกรมรางวัล Bug Hunters ให้คุณรายงานปัญหาในหลายโดเมน/บริการโดย Google (YouTube, Blogger ฯลฯ)

รางวัลสามารถสูงถึง $30,000 และมากกว่านั้นสำหรับรายงานพิเศษ

พวกเขายังมีแพลตฟอร์มการเรียนรู้ที่คุณสามารถใช้แรงบันดาลใจ/เป้าหมายจากตัวอย่างที่มีอยู่และเรียนรู้ในขณะที่คุณไป

Microsoft Bug Bounty

ค่าหัวข้อผิดพลาดของ microsoft

โปรแกรมหาจุดบกพร่องของ Microsoft ให้โอกาสมากมายในการมีส่วนร่วมและได้รับการยอมรับจากงานของคุณ

รางวัลสามารถสูงถึง $1M หรือมากกว่านั้นตามความรุนแรงและประเภทของรายงาน

Mozilla Security Bug Bounty

โปรแกรมความปลอดภัยของ Mozilla เป็นแพลตฟอร์มที่น่าตื่นเต้นสำหรับนักวิจัย แม้ว่าพวกเขาจะไม่เปิดเผยความคาดหวังของเงินรางวัลต่อสาธารณะ แต่คุณจะได้รับชื่อของคุณในรายชื่อหอเกียรติยศ

ทวิตเตอร์

ต่างจากที่อื่น Twitter ใช้แพลตฟอร์มการให้รางวัลบั๊กของบุคคลที่สามเพื่อให้นักวิจัยเข้าร่วม ค่าหัวขั้นต่ำเริ่มต้นที่ $280 และสามารถสูงถึง $20,000

นอกจากนี้ยังรวมถึงหอเกียรติยศบนแพลตฟอร์ม HackerOne เพื่อขอบคุณนักวิจัยที่มีสิทธิ์

Uber

โปรแกรมค่าหัวบั๊กของ Uber ยังอาศัย HackerOne ซึ่งคุณจะได้รับสูงถึง $15,000 สำหรับรายงานสำคัญๆ และนำชื่อของคุณไปแสดงบนหอเกียรติยศ

เทสลา

โปรแกรมหาข้อผิดพลาดของ Tesla สามารถพบได้ใน Bugcrowd ซึ่งเป็นอีกแพลตฟอร์มหนึ่งสำหรับ Bug Bounty

รางวัลสามารถอยู่ในช่วงสูงถึง $15,000 ต่อช่องโหว่ตามเกณฑ์คุณสมบัติ

Intel Bug Bounty

โปรแกรมหาบั๊กของ Intel สามารถพบได้ในแพลตฟอร์ม initigriti เป็นโอกาสที่คุ้มค่าสำหรับนักวิจัยในการค้นหาปัญหาซอฟต์แวร์ เฟิร์มแวร์ และฮาร์ดแวร์ของ Intel

รางวัลสามารถสูงถึง $ 100,000

Tencent Security Response Center

โปรแกรมหาบั๊กของ Tencent ครอบคลุมเนื้อหาต่างๆ เช่น WeChat, QQ, เว็บไซต์ของ Tencent, โดเมน และแอปพลิเคชันอื่นๆ อีกหลายอย่างที่พวกเขาเป็นเจ้าของ

รางวัลอาจไม่สูงที่สุด โดยมีมูลค่าสูงถึง 3800 ดอลลาร์สำหรับการเปิดเผยข้อมูลที่จำเป็น คุณจะได้รับคณะกรรมการหอเกียรติยศ

โปรแกรม Samsung Rewards

โปรแกรม Samsung Rewards เป็นโปรแกรมหาบั๊กสำหรับผลิตภัณฑ์มือถือของ Samsung

การพิจารณารายงานของคุณมีคุณสมบัติ ผลตอบแทนสามารถสูงถึง $2,00,000 และมากกว่านั้นตามความรุนแรงของปัญหา แม้ว่าคุณจะสามารถรายงานได้โดยใช้เว็บไซต์อย่างเป็นทางการ แต่พวกเขาพึ่งพา Bugcrowd ในการประมวลผลการชำระเงินและติดต่อผู้วิจัย

ซิสโก้ เมรากิ

ผลิตภัณฑ์/ข้อเสนอของ Cisco ที่เกี่ยวข้องกับ WiFi ที่ควบคุมบนคลาวด์ที่เน้นองค์กร การกำหนดเส้นทาง และการรักษาความปลอดภัยใช้ Bugcrowd สำหรับโปรแกรมหาจุดบกพร่อง เมื่อพิจารณาว่าเป็นข้อเสนอเฉพาะ งาน/ทักษะที่จำเป็นในการค้นพบปัญหาอาจเป็นสิ่งที่ท้าทายหรือน่าตื่นเต้น

รางวัลสามารถสูงถึง 10,000 ดอลลาร์สำหรับปัญหาร้ายแรง

Netflix Bug Bounty

เงินรางวัลบั๊กของ netflix

โปรแกรม Bug Bounty ของ Netflix สามารถพบได้ใน Bugcrowd ซึ่งจะแสดงรายการโดเมน/บริการทั้งหมดที่มีสิทธิ์สำหรับการทดสอบ/รายงาน

รางวัลสามารถสูงถึง $20,000 ต่อช่องโหว่

PayPal

โปรแกรมหาบั๊กของ Paypal ใช้แพลตฟอร์ม HackerOne นอกจากนี้ยังต้องเปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยเพื่อให้สามารถเข้าร่วมได้

รางวัลสามารถสูงถึง $20,000 สำหรับรายงานช่องโหว่ที่สำคัญ

Intuit Bug Bounty

Intuit บริษัทที่อยู่เบื้องหลังผลิตภัณฑ์อย่าง QuickBooks, TurboTax, Mint เป็นต้น เสนอความสามารถในการส่งรายงานโดยใช้แบบฟอร์มบนเว็บไซต์ทางการและ HackerOne

ด้วย HackerOne โปรแกรมหาบั๊กจะเป็นแบบส่วนตัว ดังนั้น คุณจะต้องลงชื่อเข้าใช้บัญชีของคุณเพื่อยืนยันและเข้าร่วม

Shopify

เป็นหนึ่งในแพลตฟอร์มอีคอมเมิร์ซที่ได้รับความนิยมมากที่สุด โปรแกรมหาบั๊กของ Shopify บน HackerOne สามารถจ่ายเงินรางวัลสูงถึง $50,000 สำหรับช่องโหว่ที่ร้ายแรง

อาลีบาบา

โปรแกรม BugBounty ของอาลีบาบาครอบคลุมเว็บไซต์/บริการส่วนใหญ่ที่บริษัทเป็นเจ้าของ คุณสามารถส่งรายงานช่องโหว่ได้จากเว็บไซต์อย่างเป็นทางการและคาดหวังผลตอบแทนสูงถึง $2500

Soundcloud

หนึ่งในแพลตฟอร์มเสียงเปิดที่ใหญ่ที่สุด Soundcloud เสนอโปรแกรม Bug Bounty ที่อิงจาก Bugcrowd พร้อมรางวัลสูงถึง $4500 ในกรณีที่มีรายงานช่องโหว่ที่ร้ายแรง

คุณจะได้รับห้องโถงแห่งชื่อเสียงตามปกติด้วย bugcrowd

Airbnb

Airbnb เสนอรางวัลสูงถึง $15,000 ผ่านแพลตฟอร์ม HackerOne bug bounty นอกจากนี้ยังมีการส่งเสริมการขายเพื่อสนับสนุนให้แฮ็กเกอร์ทำงานกับช่องโหว่ที่สำคัญใหม่ๆ ในขณะที่เสนอโบนัส 50%

Booking.com

Booking.com จะไม่เปิดเผยรายละเอียดใดๆ (ยกเว้นโดเมนที่มีสิทธิ์) บน HackerOne

คุณสามารถติดต่อทีมรักษาความปลอดภัยของพวกเขาผ่านโปรแกรมช่วยเหลือการเปิดเผยข้อมูลของ HackerOne

Xiaomi

Xiaomi Bug Bounty

Xiaomi ใช้ HackerOne สำหรับโปรแกรมหาข้อผิดพลาด โปรแกรมนี้ครอบคลุมบริการต่างๆ สำหรับนักวิจัย รวมถึงรางวัลพิเศษและโบนัสเพิ่มเติมจากรางวัลสูงถึง $8,000 สำหรับช่องโหว่ที่สำคัญในผลิตภัณฑ์ทางธุรกิจของพวกเขา

สี่เหลี่ยม

Square เป็นแอปพลิเคชั่นขายหน้าร้านสำหรับสมาร์ทโฟน สำหรับรายงานจุดอ่อนที่รุนแรงสำหรับแอป/เว็บไซต์ บริษัทเสนอให้รางวัลสูงถึง $5,000 ผ่านโปรแกรมให้รางวัลจุดบกพร่องบน Bugcrowd

นินเทนโด

โปรแกรมหาบั๊กของ Nintendo ช่วยให้คุณพบปัญหาที่ทำให้ผู้เล่นโกง ละเมิดลิขสิทธิ์เกม และปัญหาทางเทคนิคอื่นๆ

รางวัลสามารถสูงถึง $ 12,000

Coinbase

Coinbase เป็นแพลตฟอร์มแลกเปลี่ยนสกุลเงินดิจิทัลที่โดดเด่น มีโปรแกรมหาข้อผิดพลาดผ่าน HackerOne ให้รางวัลสูงถึง $50,000

คลาวด์แฟลร์

เงินรางวัลบั๊ก cloudflare

Cloudflare นำเสนอบริการที่สำคัญส่วนใหญ่ที่ช่วยให้บริษัทอินเทอร์เน็ตปกป้องและปรับปรุงข้อเสนอของพวกเขาบนเว็บ โปรแกรมหาข้อผิดพลาดบน HackerOne อธิบายปัญหาต่างๆ ที่นักวิจัยสามารถค้นหาได้ พร้อมด้วยลิงก์ไปยังเอกสารที่จำเป็นทั้งหมด

รางวัลสามารถสูงถึง $3,000 สำหรับปัญหาร้ายแรง

ExpressVPN

โปรแกรมหาบั๊กของ ExpressVPN นั้นถือว่าใหญ่ที่สุดในบรรดาผู้ให้บริการ VPN รายอื่น

นอกจากรางวัลปกติที่สูงถึง $2500 แล้ว ยังให้โบนัสแบบครั้งเดียวสูงถึง $1,00,000 หากคุณเป็นคนแรกที่รายงานช่องโหว่ในการเรียกใช้โค้ดจากระยะไกลหรือบางสิ่งที่ทำให้ที่อยู่ IP ของลูกค้ารั่วไหล

การตามล่าหาจุดบกพร่อง รางวัล และการยอมรับ

เมื่อพิจารณาว่าโปรแกรม Bug Bounty ช่วยให้แฮ็กเกอร์ที่มีจริยธรรมมีสนามเด็กเล่นเพื่อทดสอบทักษะของพวกเขา ดูเหมือนว่าเป็นความคิดที่ดีสำหรับนักวิจัยอิสระและบริษัทในการปรับปรุงข้อเสนอของพวกเขา

การปฏิบัติตามกฎ/แนวทางปฏิบัติที่กล่าวถึงในโปรแกรมหาจุดบกพร่องเป็นสิ่งสำคัญอย่างยิ่ง หากคุณไม่ผ่านเกณฑ์ คุณจะเสียเวลา และรายงานของคุณก็ไม่มีสิทธิ์ได้รับรางวัล

คุณอาจสนใจพื้นที่ฝึกอบรมแฮ็กเกอร์ที่มีจริยธรรม