Nel 2019, lo Stato della sicurezza ha pubblicato il suo elenco più recente di framework di bug bounty essenziali. Da allora, numerose organizzazioni ed enti governativi hanno lanciato i propri programmi di ricompensa per la vulnerabilità (VRP). COVID-19 ha cambiato anche il panorama della sicurezza digitale. Con questo in mente, è il momento per un elenco aggiornato.
Ecco 10 programmi di bug bounty essenziali per il 2020 (questi framework non sono classificati ma sono piuttosto elencati in ordine alfabetico).
Apple
- Sito web: https://developer.apple.com/security-bounty/
- Pagamento minimo: $ 5.000
- Pagamento massimo: $ 1 milione
Annunciato per la prima volta al Black Hat USA 2016, il programma di bug bounty di Apple ha originariamente accolto solo due dozzine di ricercatori di sicurezza che avevano precedentemente segnalato vulnerabilità che avevano trovato nel software del gigante tecnologico. L’azienda tecnologica ha successivamente aperto il suo programma di bug bounty a tutti i ricercatori di sicurezza, come riportato da The Verge nel dicembre 2019.
Apple pagherà $ 25.000 per i difetti che potrebbero consentire a un attore di ottenere un accesso non autorizzato all’account iCloud di un utente. Nel frattempo, consegnerà $ 100.000 a coloro che possono estrarre parzialmente i dati da un dispositivo bloccato dopo il primo sblocco. La taglia più alta arriva a $ 1 milione per una catena remota senza clic con esecuzione e persistenza completa del kernel.
- Sito web: https://www.facebook.com/whitehat
- Pagamento minimo: $ 500
- Pagamento massimo: nessun importo predeterminato
Coloro che desiderano qualificarsi per una ricompensa nel programma di bug bounty di Facebook possono segnalare un problema di sicurezza su Facebook, Atlas, Instagram, WhatsApp e alcuni altri prodotti e acquisizioni qualificanti. Tuttavia, ci sono alcuni problemi di sicurezza che la piattaforma di social networking considera fuori limite. Ad esempio, i ricercatori che riferiscono su tecniche di ingegneria sociale, iniezione di contenuti o attacchi DoS (Denial of Service) non saranno idonei per una taglia.
In base al suo VRP, Facebook ha accettato di pagare un minimo di $ 500 per una vulnerabilità divulgata in modo responsabile, anche se alcuni difetti di bassa gravità non qualificheranno un ricercatore per una taglia. I cacciatori di taglie partecipanti possono decidere di donare le loro taglie a un ente di beneficenza di scelta. Se scelgono di farlo, Facebook raddoppierà il premio.
Nel febbraio 2020, Facebook ha rivelato di aver assegnato $ 2,2 milioni a ricercatori di oltre 60 paesi come parte del suo programma di bug bounty. Un mese dopo, la piattaforma di social networking ha premiato $ 55.000 al ricercatore Amol Baikar che ha permesso a un attore di dirottare i token di accesso quando un utente ha tentato di autenticarsi su altri siti Web tramite Facebook.
GitHub
- Sito web: https://bounty.github.com/
- Pagamento minimo: $ 617
- Pagamento massimo: $ 30.000 +
Centinaia di ricercatori sulla sicurezza hanno partecipato al programma bug bounty di GitHub sin dal suo lancio nel giugno 2013. Ognuno di loro ha guadagnato punti per le proprie segnalazioni di vulnerabilità a seconda della gravità di un difetto. Sulla base del loro lavoro su tutti gli obiettivi, coloro che hanno accumulato il maggior numero di punti si sono assicurati una posizione nella classifica del VRP.
Le persone che desiderano partecipare al framework dei bug bounty di GitHub dovrebbero rivolgere la loro attenzione all’API della piattaforma per sviluppatori, CSP, Enterprise, Gist, al sito web principale e a tutti i servizi di prima parte. Dopo aver inviato una segnalazione di bug, i ricercatori possono aspettarsi di ricevere tra $ 617 e $ 30.000 + come ricompensa. Ma riceveranno tale ricompensa solo se rispettano i dati degli utenti e non sfruttano alcun problema per produrre un attacco che potrebbe danneggiare l’integrità dei servizi o delle informazioni di GitHub.
Nel marzo 2020, GitHub ha annunciato che i suoi pagamenti totali ai ricercatori avevano superato $ 1 milione nel 2019. Solo quell’anno ha pagato $ 590.000 in premi.
- Sito web: https://www.google.com/about/appsecurity/reward-program/
- Pagamento minimo: $ 100
- Pagamento massimo: $ 31,337
Quasi tutti i contenuti nei domini .google.com, .youtube.com e .blogger sono aperti al programma di premi per le vulnerabilità di Google. L’ambito del framework non si applica ai punti deboli che potrebbero consentire a qualcuno di condurre attacchi di phishing contro i dipendenti di Google. Il programma copre solo le questioni di progettazione e implementazione che influiscono sulla riservatezza e sull’integrità dei dati degli utenti. Questi punti deboli includono vulnerabilità XSS e difetti di autenticazione.
Al momento della stesura di questo documento, le vulnerabilità legate all’esecuzione di codice in modalità remota nelle applicazioni che consentono l’acquisizione di un account Google, le normali applicazioni Google e altre applicazioni sensibili hanno totalizzato la taglia più alta di $ 31.337. Questi difetti includono fughe sandbox, iniezione di comandi e punti deboli della deserializzazione. Al contrario, un difetto CSRF o una debolezza del clickjacking nelle acquisizioni non integrate garantisce solo una ricompensa di $ 100.
Per molti aspetti, il 2019 è stato un grande anno per Google e i suoi programmi di bug bounty. Ad agosto, il gigante della tecnologia ha annunciato di aver ampliato l’ambito del suo programma di premi per la sicurezza di Google Play per includere tutte le app di Google Play con oltre 100 milioni di download. In quel momento ha anche svelato la creazione del suo programma di ricompensa per la protezione dei dati per sviluppatori. La modifica finale è avvenuta pochi mesi dopo, quando Google ha aumentato il.
vincita massima per il suo framework di bug bounty per Android a $ 1,5 milioni.
In tutti questi programmi, Google ha distribuito 6,5 milioni di dollari in premi ai ricercatori nel 2019.
HackerOne
- Sito web: https://hackerone.com/security
- Pagamento minimo: $ 500
- Pagamento massimo: $ 15.000 +
Lanciato nel 2013, il programma bug bounty di HackerOne copre nove diversi domini del sito web dell’azienda. Su https://hackerone.com, ad esempio, i ricercatori di sicurezza possono guadagnare almeno $ 500 per un difetto di bassa gravità. Il prezzo aumenta ad almeno $ 15.000 per una vulnerabilità critica. Lo stesso schema di aggiudicazione si applica ad altri tre domini: https://hackerone-us-west-2-production-attachments.s3-us-west-2.amazonaws.com/, https://api.hackerone.com e * .vpn.hackerone.net. Per i domini rimanenti, i ricercatori possono guadagnare tra $ 500 e $ 7.500 per una falla di sicurezza di gravità da bassa ad alta.
Detto questo, HackerOne chiarisce sul suo sito Web che accetterà bug che non rientrano nell’ambito del suo programma di bug bounty. Come alcuni esempi, HackerOne ha menzionato una terza parte che perde dati sensibili, una vulnerabilità che colpisce i servizi dell’azienda o un’altra minaccia che mette a rischio HackerOne.
Per un elenco dei programmi di bug bounty di altre organizzazioni offerti da HackerOne, fare clic qui.
Intel
- Sito web: https://security-center.intel.com/BugBountyProgram.aspx
- Pagamento minimo: $ 500
- Pagamento massimo: $ 100.000
Rivelato alla Conferenza sulla sicurezza di CanSecWest nel marzo 2017, il programma bug bounty di Intel si rivolge all’hardware dell’azienda (processori, chipset, unità a stato solido, ecc.), Firmware (BIOS, Intel Management Engine, schede madri, ecc.) E software (driver di dispositivo, applicazioni e strumenti). Non include acquisizioni recenti, infrastruttura web dell’azienda, prodotti di terze parti o qualsiasi cosa relativa a McAfee, una ex consociata Intel
Per una vulnerabilità critica scoperta nell’hardware dell’azienda, i ricercatori possono aspettarsi di ricevere una taglia fino a $ 100.000. Dall’altro lato dello spettro, una vulnerabilità di bassa gravità che colpisce il software Intel porterà un cacciatore di taglie fino a $ 500. Detto questo, se qualcuno ha una storia di rifiuto della divulgazione coordinata o è un membro della famiglia di un dipendente Intel, molto probabilmente la società non lo ammetterà al suo programma.
Intel ha corretto 236 vulnerabilità nel 2019, secondo ZDNet. Solo il 15% delle falle di sicurezza erano debolezze legate alla CPU.
Microsoft
- Sito web: https://technet.microsoft.com/en-us/library/dn425036.aspx
- Pagamento minimo: nessun importo predeterminato
- Pagamento massimo: $ 250.000
I premi attivi sotto il VRP di Microsoft cambiano costantemente. Al momento della stesura di questo documento, i ricercatori possono guadagnare fino a $ 100.000 per la scoperta di vulnerabilità nei servizi cloud Microsoft applicabili. Coloro che cercano una vincita maggiore possono cercare di scoprire problemi di bypass della mitigazione o l’esecuzione di codice remoto critico in Hyper-V, bug che garantiranno ai cacciatori di taglie premi fino a $ 100.000 e $ 250.000, rispettivamente.
Nel luglio 2017, Microsoft ha lanciato un programma di ricompensa di bug di Windows. In questo quadro, coloro che inviano segnalazioni per una vulnerabilità idonea che interessa Windows Insider Preview possono sperare di raccogliere fino a $ 30.000. Un programma gemello per Windows Defender Application Guard (WDAG) ha lo stesso pagamento massimo.
Da allora, Microsoft ha lanciato programmi di bug bounty per Xbox, sicurezza IoT e software elettorale. Le parti interessate possono saperne di più su tutti i programmi che rientrano nel framework dei bug bounty di Windows qui.
Mozilla
- Sito web: https://www.mozilla.org/en-US/security/bug-bounty/
- Pagamento minimo: $ 100
- Pagamento massimo: $ 10.000 +
Mozilla ha lanciato uno dei primi moderni programmi di bug bounty nel 2004. Tredici anni dopo, l’organizzazione no-profit dietro il popolare browser web Firefox ha rilanciato il suo programma. Il suo VRP oggi accoglie i ricercatori sulla sicurezza che accettano di non modificare, eliminare o archiviare i dati degli utenti durante i test del software Mozilla.
Attualmente, Mozilla esegue due diversi programmi di bug bounty. Il primo è il Client Bug Bounty Program dell’organizzazione attraverso il quale i ricercatori possono segnalare un exploit remoto, la causa di un’escalation dei privilegi o una fuga di informazioni nelle versioni rilasciate pubblicamente di Firefox o Firefox per Android. I ricercatori partecipanti possono ricevere $ 500 per la segnalazione di una vulnerabilità a basso impatto e potenzialmente oltre $ 10.000 per trovare una fuga dalla sandbox o un altro difetto di sicurezza critico.
L’organizzazione no-profit gestisce anche un programma Bug Bounty per i servizi e il web. Questo particolare framework accoglie i ricercatori di sicurezza per segnalare i punti deboli dei bug di esecuzione di codice in modalità remota che interessano i siti Web critici, che vengono forniti con un premio di $ 15.000, alle lacune di acquisizione del dominio che interessano i domini esterni a * .mozilla.org, * .mozilla.com, * .mozilla.net e * .firefox.com, che può fruttare ai ricercatori $ 200.
Pentagono
- Sito web: https://www.hackerone.com/resources/hack-the-pentagon
- Pagamento minimo: $ 100
- Pagamento massimo: $ 15.000
Testato per la prima volta in una “corsa pilota” tra aprile e maggio 2016, “Hack the Pentagon” è un programma di bug bounty
ram progettato per identificare e risolvere le vulnerabilità di sicurezza che interessano i siti Web rivolti al pubblico gestiti dal Dipartimento della Difesa degli Stati Uniti (DoD). Il servizio di difesa digitale (DDS) dell’agenzia ha creato il quadro in collaborazione con HackerOne. Da allora, ha esteso il programma ad altri reparti, incluso “Hack the Army”.
In totale, 1.410 ricercatori e cacciatori di bug bounty si sono registrati per prendere parte alla sfida iniziale. Di questi, 250 hacker etici hanno scoperto un totale di 138 vulnerabilità che Defense Media Activity (DMA) ha ritenuto valide e uniche. Di conseguenza, il Dipartimento della Difesa ha assegnato circa 75.000 dollari ai ricercatori della sicurezza solo nel primo anno del programma.
Il programma di bug bounty del Dipartimento della Difesa ha già prodotto centinaia di vulnerabilità di sicurezza nel 2020. Ad esempio, il programma “Hack the Army 2.0” ha portato alla luce oltre 145 difetti. “Hack the Air Force 4.0” ha scoperto ancora di più a oltre 460 difetti.
Zoom
Zoom Video Communications, Inc. ospitava un programma di bug bounty su HackerOne. L’azienda ha ancora una pagina sulla piattaforma di ricerca sulle vulnerabilità. Sebbene specifichi quali tipi di vulnerabilità non rientrano nell’ambito del programma di Zoom, la pagina non fornisce ulteriori dettagli sullo schema. Invece, istruisce i ricercatori sulla sicurezza a contattare il team di sicurezza di Zoom.
In seguito allo scoppio globale del COVID-19, i ricercatori di sicurezza hanno scoperto numerosi problemi che interessano la piattaforma di comunicazioni video. La società ha successivamente collaborato con Luta Security per rivedere il suo programma di bug bounty. Al momento della stesura di questo documento, Zoom sollecitava il feedback dei ricercatori sulla sicurezza sul miglioramento del suo framework di ricerca sulle vulnerabilità.
Pensi che ci siamo persi un programma di bug bounty essenziale? Faccelo sapere su Twitter.