Zeki bilgisayar korsanı için yeni web hedefleri
Normalde düşük anahtarlı Ağustos ayı, infosec’in en ünlü konferansını da beraberinde getiriyor: Siyah Şapka ABDbu yıl böcek ödül avcıları için bir uyarı sözü getirdi.
Truffle Security CEO’su Dylan Ayrey, zayıf araştırma ve kalitesiz veri yönetiminin, kullanıcıların kişisel olarak tanımlanabilir bilgilerinin sızdırılmasına yol açtığı bir dizi vakadan bahsetti. Bazı durumlarda, ilgili bilet kapatıldıktan çok sonra veriler hala kullanılabilir, diye uyardı.
Ayrey, “Hata ödüllerindeki bu gizlilik sızıntıları gerçekten yaygın ve herkese açık olarak paylaşabileceğimiz her örnek için, herkese açık olarak paylaşılamayan 100 örnek var” dedi.
Optimal olmayan hata ödül uygulamalarının iddia edilen başka bir örneğinde CrowdStrike yakın zamanda güvenlik açığı açıklama süreci nedeniyle ateş altında kaldı.
İsviçreli güvenlik analisti hizmeti Modzero AG’nin ortağı olan Pascal Zenker, Teksas merkezli siber güvenlik firmasının HackerOne aracılığıyla yürütülen hata ödül programının “Gizlilik Sözleşmesine dayalı” olduğunu, açıklama sürecinin ise “sonunda profesyonellikten uzak olduğunu” iddia etti.
Ancak CrowdStrike, eylemlerini savundu ve Modzero’nun altı hafta geçene kadar “diyaloğa devam etme” girişimlerine yanıt vermediğini söyledi.
Bu ay en dikkat çekici yeni hata ödül programları arasında Google‘nin en son VRP’si, bu sefer Golang, Angular ve Fuchsia gibi açık kaynak projelerine odaklandı.
30 Ağustos’ta duyurulan Açık Kaynak Yazılım Güvenlik Açığı Ödül Programı (OSS VRP), yazılım tedarik zincirine yönelik artan saldırı dalgasını durdurmak için tasarlanmıştır.
Mevcut Google VRP’lerinde, özellikle de Alesandro Ortiz’in teknoloji devinden 20.000 ABD doları – bir işbirlikçiye 4.000 ABD doları vererek – bir hatayı ortaya çıkarmak için net olarak almasıyla ilgili birkaç kayda değer ödeme vardı. Krom proje. Bu, saldırganların diğer açıkların yanı sıra özel bilgileri çalmak, çerezleri okumak ve değiştirmek ve mikrofon ve kamera yayınlarına erişim sağlamak için iFrame’ler ve açılır pencereler aracılığıyla site izolasyon korumasını atlamasına izin verdi.
Bu arada, araştırmacı ‘NDevT’ iki XSS güvenlik açığı keşfetti. Google Bulut, DevSite, ve Google Oyun Bu, hesapların ele geçirilmesine neden olabilir. Acıları için 3.000 dolar ve 5.000 dolar böcek ödülü kazandılar.
Ve Adi Cohen’in bir XSS keşfetmesiyle, üçüncü bir Google sorunu için 5.000 dolarlık bir ödeme yapıldı. E-posta için AMP bu, Gmail’in dinamik e-posta özelliğini, tarayıcının belirli bir kod parçasını oluşturmak için kullanmayacağı bir oluşturma bağlamına sokmayı içeriyordu.
Son olarak, Google dışı ödeme haberlerinde, ciddi ödemeler için sırasıyla 4.000 ABD Doları ve 5.000 ABD Doları ödül vardı. GitHub Sayfaları ve Reddit sorunlar olurken, bir yahoo hackathon, metin arama motoru aracı Vespa ile ilgili 218 hata gönderimi için 218.121 $ ödedi.
Eylül 2022 için en son hata ödül programları
Geçen ay birkaç yeni hata ödül programı geldi. İşte en son girişlerin bir listesi:
Abraxas OYLAMA
Program sağlayıcısı:
Hata Ödülü İsviçre
Program türü:
yarı kamu
Maksimum ödül:
10.000$
Anahat:
OYLAMA, İsviçre seçimlerinde oy pusulalarını yönetmek ve sayılan oyları toplamak için kullanılacaktır.
Notlar:
Maksimum ödül, yaklaşık 10.000 İsviçre Frangı’dır ve bu, yaklaşık olarak ABD doları cinsinden aynı miktara eşittir.
Bug Bounty İsviçre aracılığıyla programı hacklemek için başvurun
hava kilidi
Program sağlayıcısı:
Hata Ödülü İsviçre
Program türü:
yarı kamu
Maksimum ödül:
açıklanmayan
Anahat:
Airlock’un bir web uygulaması güvenlik duvarı (WAF) olan Secure Access Hub’ı, dünya çapında 30.000’den fazla web uygulamasını korur.
Notlar:
Şirket, “Bu program bir CTF yarışması tarzında oluşturuldu” dedi.
Bug Bounty İsviçre aracılığıyla programı hacklemek için başvurun
Uber’den Köşe Dükkanı
Program sağlayıcısı:
HackerBir
Program türü:
Halk
Maksimum ödül:
2.500$
Anahat:
Uber’in isteğe bağlı bakkal teslimat hizmeti, kritik güvenlik açıkları için 2.500 dolar ve yüksek önemdeki kusurlar için 1.000 dolar teklif ediyor.
Notlar:
Kapsamdaki yedi varlık: .cornershopapp.com web sitesi, iOS ve Android uygulamaları, kaynak kodu, dahili varlıkları içeren iki alan ve KG ortamı.
Daha fazla ayrıntı için Cornershop hata ödül sayfasına göz atın
Ethereum – Geliştirilmiş
Program sağlayıcısı:
Bağımsız
Program türü:
Halk
Maksimum ödül:
1 milyon dolar
Anahat:
Ethereum blok zinciri için hata ödülü ödülleri, ağın hisse kanıtına geçişiyle ilgili olarak 8 Eylül’de sona eren iki haftalık bir süre için dört katına çıktı.
Notlar:
Ödemelere dört kat çarpan uygulaması, etik bilgisayar korsanlarının geçerli kritik güvenlik açıklarının sunulması için 1 milyon dolara kadar kazanabileceği anlamına gelir.
Daha fazla ayrıntı için önceki kapsamımıza göz atın
Google OSS VRP’si
Program sağlayıcısı:
Bağımsız
Program türü:
Halk
Maksimum ödül:
$31.337
Anahat:
Google’ın Açık Kaynak Yazılım Güvenlik Açığı Ödül Programı (OSS VRP), GoogleAPI’ler ve GoogleCloudPlatform gibi Google’a ait GitHub kuruluşlarının halka açık havuzlarına ve bunların üçüncü taraf bağımlılıklarına odaklanır.
Notlar:
100$ ile 31,337$ arasında değişen ödüller, Bazel, Angular, Golang, Protocol buffers ve Fuchsia gibi özellikle hassas projeler ve tedarik zincirinde uzlaşmaya yol açabilecek güvenlik açıkları için genellikle daha yüksek olacaktır.
Daha fazla ayrıntı için Google OSS VRP hata ödül sayfasına göz atın
pogo
Program sağlayıcısı:
HackerBir
Program türü:
Halk
Maksimum ödül:
2.000 $
Anahat:
Pogo, alışveriş, finans ve daha fazlası için kredi ve indirim kazanmak için kullanıcılara kişisel verilerini çevrimiçi olarak kullanmanın bir yolunu sunan bir mobil uygulamadır.
Notlar:
Kapsam, platformun üretim Android ve iOS uygulamaları ile mobil uygulamalar tarafından kullanılan API uç noktasıdır.
Daha fazla ayrıntı için Pogo hata ödül sayfasına göz atın
Proton
Program sağlayıcısı:
Hata Ödülü İsviçre
Program türü:
yarı kamu
Maksimum ödül:
30.000 $
Anahat:
Programa kabul edilirseniz, gizliliği koruyan e-posta hizmeti Proton “uygulamaların yayınlanmamış sürümlerine ve kaynak kodlarına erken ve özel erişim sağlayacaktır”.
Notlar:
İsviçre platformu ayrıca cazip ödüller, “yapıcı bir diyalog, adil kurallar ve yasal bir güvenli liman” vaat ediyor.
Bug Bounty İsviçre aracılığıyla programı hacklemek için başvurun
Güvenli Açık Kaynak Ödülleri
Program sağlayıcısı:
Bağımsız
Program türü:
Halk
Maksimum ödül:
10.000$
Anahat:
Geliştiriciler ve güvenlik araştırmacıları, Linux Vakfı tarafından, Google’ın açık kaynak güvenlik ekibinin ilk sponsorluğu sağladığı “kritik açık kaynak projelerini güçlendirmenin” yollarını önermeye davet edildi.
Notlar:
Ödüller, küçük iyileştirmeler için 505 ABD Doları ile “büyük güvenlik açıklarını neredeyse kesinlikle önleyen karmaşık, yüksek etkili ve kalıcı iyileştirmeler” için 10.000 ABD Doları veya daha fazla arasında değişmektedir.
Daha fazla ayrıntı için önceki kapsamımıza göz atın
Starbucks – Geliştirilmiş
Program sağlayıcısı:
HackerBir
Program türü:
Halk
Maksimum ödül:
$6,000
Anahat:
Bulguyu doğrulamak için benzersiz bir Çekirdek Şablonu içeren hata raporları artık araştırmacılara 250 $ bonus kazandıracak.
Notlar:
2016’da başlatılan Starbucks programı kapsamında 36 varlığa, 1.500’e yaklaşan çözümlenmiş rapora ve yazının yazıldığı sırada ortalama 250-500 ABD Doları tutarında ödemeye sahiptir.
Daha fazla ayrıntı için Starbucks hata ödül sayfasına göz atın
Trendyol
Program sağlayıcısı:
HackerBir
Program türü:
Halk
Maksimum ödül:
3.000 $
Anahat:
Türkiye’nin en büyük e-ticaret platformu Trendyol Group, başarılı ve zaman sınırlı bir HackerOne Challenge’ın ardından devam eden bir hata ödül programı başlattı.
Notlar:
Kritik hatalar 2.000 – 3.000 $ arasında değişen ödüller verirken, yüksek önemdeki sorunlar hata avcılarını 750 – 1.250 $ arasında netleştirecektir.
Daha fazla ayrıntı için Trendyol hata ödül sayfasına göz atın
Bu ayki diğer hata ödülü ve VDP haberleri
Adam Bannister küratörlüğünde. Emma Woollacott’un tanıtımı.
ÖNCEKİ BASKI Hata Ödül Radarı // Ağustos 2022 için en son hata ödül programları