Zeki bilgisayar korsanı için yeni web hedefleri
baypas Facebook‘nin SMS tabanlı iki faktörlü kimlik doğrulaması (2FA), Meta’nın 2022’deki en etkileyici hata ödül bulguları haline geldi.
Ancak görünen o ki, Facebook’un ana şirketi başlangıçta güvenlik açığını tam olarak takdir etmemiş ve sonunda ödülü 27.200 $’a revize etmeden önce 3.000 $’lık bir ödül teklif etmiş.
Güvenlik araştırmacısı Manoj, “Herhangi bir iletişim noktasını (e-posta veya telefon) doğrularken hiçbir hız sınırı koruması olmadığından, telefon numarasını bilen bir saldırgan, kurbanın 2FA etkin telefon numarasını Instagram bağlantılı Facebook hesabına ekleyebilir.” Gautam söyledi günlük yudum.
Bu ayki diğer böcek ödülü haberlerinde, bir bilgisayar korsanı ikilisi belgelendi Google Bulut Platformu (GCP) Toplamı 22.000 dolardan fazla olan altı ödemeyle sonuçlanan araştırma.
Sreeram KL ve Sivanesh Ashok için en kazançlı keşif, bir sunucu tarafı istek sahteciliği (SSRF) hatası ve ardından makine öğrenimi platformu Vertex AI’da yama atlaması için çifte 5.000 $’lık bir ödülle sonuçlandı.
Dört blog gönderisinde özetlenen hata ödül istismarları, Google Cloud’un Compute Engine’deki bir SSH anahtar yerleştirme sorununu ve Theia ile Cloud İş İstasyonlarındaki kusurları da içeriyordu.
Kaynaklar arası kaynak paylaşımı (CORS) yanlış yapılandırmalar, üçüncü bir hata ödül yazısının odak noktasıydı. günlük yudum bu ay.
Özellikle Tesla dahil olmak üzere birden fazla özel program için tasarlanan istismarlar, Truffle Security araştırmacılarına “birkaç bin dolar” kazandırdı ve “büyük şirket içi ağların etkili CORS’ye sahip olma olasılığının fazlasıyla yüksek olduğu” hipotezini doğruladı. [cross-origin resource sharing] yanlış yapılandırmalar”.
Bu arada ufukta görünen yeni bilgisayar korsanlığı fırsatları arasında The ABD Savunma Bakanlığı (DoD)‘nin üçüncü yıllık Hack The Pentagon mücadelesi ve Zero Day Initiative’in (ZDI’s) açılışı Pwn2Own OtomotivOcak 2024 için planlanmıştır.
Şubat 2023 için en son hata ödül programları
Geçen ay birkaç yeni bug bounty programının gelişine tanık olduk. İşte en son girişlerin bir listesi:
8×8
Program sağlayıcısı:
HackerOne
Program türü:
Halk
Maksimum ödül:
1.337 dolar
Anahat:
ABD’li ticari iletişim teknolojileri sağlayıcısı, bilgisayar korsanlarını web sitelerini, mobil uygulamalarını ve açık kaynaklı görüntülü toplantı yazılımı Jitsi gibi hizmetlerini incelemeye davet etti.
notlar:
Nispeten mütevazı yüksek ikramiyeye rağmen, 8×8 lansmanından sonraki bir ay içinde şimdiden 90.000 dolardan fazla ödül ödedi.
Daha fazla ayrıntı için 8×8 bug bounty sayfasına göz atın
Hedera Hashgrafı
Program sağlayıcısı:
HackerOne
Program türü:
Halk
Maksimum ödül:
30.000 $
Anahat:
Hedera Hashgraph kendisini “kurumlar, web3 projeleri ve prestijli üniversiteler”den oluşan Hedera Yönetim Konseyi ile “sorumlu bir şekilde yönetilen merkezi olmayan bir ağ” olarak tanımlıyor.
notlar:
Hizmetler ve yansıtma düğümü kod tabanları, Java ve JavaScript SDK’ları, testnet API uç noktaları ve testnet yansıtma düğümü API’leri dahil olmak üzere yedi varlık kapsam dahilindedir.
Daha fazla ayrıntı için Hedera Hashgraph bug ödül sayfasına göz atın
hiper şerit
Program sağlayıcısı:
Bağışıklık
Program türü:
Halk
Maksimum ödül:
2,5 milyon dolar
Anahat:
Hyperlane kendisini modüler bir birlikte çalışabilirlik platformu olarak tanımlar ve geliştiricilere zincirler arası uygulamalar, blok zincirleri arasında kolayca ve güvenli bir şekilde iletişim kurabilen uygulamalar oluşturma yetkisi verir.
notlar:
Hayat değiştiren maksimum ödül, akıllı sözleşmelerdeki kritik hatalar için sunulurken, uygulama kusurları 20.000 $’a kadar ödeme emri verebilir.
Daha fazla ayrıntı için Hyperlane bug ödül sayfasına göz atın
kivi.com
Program sağlayıcısı:
HackerOne
Program türü:
Halk
Maksimum ödül:
5.000 $
Anahat:
Çek çevrimiçi seyahat acentesi Kiwi.com, uçak biletleri ve kara taşımacılığı için bir ücret toplayıcı, meta arama motoru ve rezervasyon işlevi sağlar.
notlar:
Kapsam içi hedefler arasında ana web sitesi olan kiwi.com; tekila.kiwi.com; işler.kiwi.com; kaynak kodu; API’ler ve dahili araçlar; ve mobil uygulamalar.
Daha fazla ayrıntı için Kiwi.com bug bounty sayfasına göz atın
Ağ+
Program sağlayıcısı:
GObugfree
Program türü:
Kamu ve özel karışımı
Maksimum ödül:
5.000 İsviçre Frangı (5.389 ABD Doları)
Anahat:
İsviçre’de 220.000’den fazla kullanıcıya internet, telefon ve TV hizmetleri sağlayan Netplus.ch, kritik hatalar için 2.000-5.000 CHF arasında ödeme yapıyor.
notlar:
Yeni hedefler, genel program içindeki daha geniş bilgisayar korsanlığı topluluğuna açılmadan önce, başlangıçta bir ilk test süresi boyunca özel programla sınırlandırılır.
Daha fazla ayrıntı için Net+ özel ve genel hata ödül sayfalarına göz atın
Open-Xchange (OX) Uygulama Paketi
Program sağlayıcısı:
EvetWeHack
Program türü:
Halk
Maksimum ödül:
5.000€ (5.430$)
Anahat:
Open-Xchange’in OX App Suite’i, belirsizliğe dayalı güvenlik yerine varsayılan olarak güvenliği tercih ettiğini iddia eden açık kaynaklı bir e-posta ve üretkenlik paketidir.
notlar:
Şimdiye kadar bir HackerOne istemcisi olan Open-Xchange, hata ödül programlarını YesWeHack’e taşıdı. CISO Martin Heiland kısa süre önce Paris merkezli platformla sunulan bilgisayar korsanlığı fırsatlarını tartıştı.
Daha fazla ayrıntı için OX App Suite bug ödül sayfasına göz atın
Open-Xchange Dovecot
Program sağlayıcısı:
EvetWeHack
Program türü:
Halk
Maksimum ödül:
5.000€ (5.430$)
Anahat:
Dovecot, birden çok işletim sisteminde ve “milyonlarca operatör” tarafından kullanılan, Open-Xchange’in IMAP, POP3 ve e-posta gönderme sunucusudur.
notlar:
Şimdiye kadar bir HackerOne istemcisi olan Open-Xchange, hata ödül programlarını YesWeHack’e taşıdı. CISO Martin Heiland kısa süre önce Paris merkezli platformla sunulan bilgisayar korsanlığı fırsatlarını tartıştı.
Daha fazla ayrıntı için Dovecot bug bounty sayfasına göz atın
Open-Xchange PowerDNS
Program sağlayıcısı:
EvetWeHack
Program türü:
Halk
Maksimum ödül:
5.000€ (5.430$)
Anahat:
PowerDNS, etki alanı çözümlemesi ve ağ güvenliği özelliklerini etkinleştiren bir DNS sunucusudur.
notlar:
Şimdiye kadar bir HackerOne istemcisi olan Open-Xchange, hata ödül programlarını YesWeHack’e taşıdı. CISO Martin Heiland kısa süre önce Paris merkezli platformla sunulan bilgisayar korsanlığı fırsatlarını tartıştı.
Daha fazla ayrıntı için PowerDNS bug ödül sayfasına göz atın
S Bankası
Program sağlayıcısı:
HackerOne
Program türü:
Halk
Maksimum ödül:
4.000 $
Anahat:
Fin bankası, kritik güvenlik açıkları için 4.000 $’a kadar, yüksek önem dereceli kusurlar için 2.000 $’a kadar ve orta önemdeki hatalar için 1.000 $’a kadar teklif veriyor.
notlar:
Dokuz alan artı iOS ve Android mobil uygulamaları dahil olmak üzere 11 varlık kapsam dahilindedir.
Daha fazla ayrıntı için S-Pankki bug bounty sayfasına göz atın
mükemmel
Program sağlayıcısı:
HackerOne
Program türü:
Halk
Maksimum ödül:
2.000 $
Anahat:
Rumen çevrimiçi oyun şirketi, kritik hatalar için maksimum 2.000 $, yüksek önemdeki sorunlar için 1.000 $ ve orta etkili güvenlik açıkları için 250 $ teklif ediyor.
notlar:
Kapsamdaki tek varlık: the.superbet.ro alanı.
Daha fazla ayrıntı için Superbet bug bounty sayfasına göz atın
İsviçreli Bankacılar
Program sağlayıcısı:
GObugfree
Program türü:
Özel
Maksimum ödül:
açıklanmadı
Anahat:
Swiss Bankers, ön ödemeli kredi kartları, mobil ödeme ve para transferi konusunda uzmanlaşmış bir finansal hizmetler firmasıdır.
notlar:
Bilgisayar korsanları yalnızca davetle katılabilir.
Daha fazla ayrıntı için Swiss Bankers bug bounty sayfasına göz atın
Threema (Geliştirilmiş)
Program sağlayıcısı:
GObugfree
Program türü:
Halk
Maksimum ödül:
10.000 CHF (10.778 $)
Anahat:
İsviçre anlık mesajlaşma hizmeti Threema, programı Mayıs 2022’de başlattıktan sonra maksimum ödeme miktarını 4.000 CHF’den (4.311 $) 10.000 CHF’ye (10.778 $) çıkardı.
notlar:
Bu haber, gizlilik odaklı yazılımın şifreli mesajlaşma platformunda çeşitli güvenlik açıkları olduğu yönündeki tartışmalı iddialarının ardından geldi.
Daha fazla ayrıntı için Threema bug ödül sayfasına göz atın
TRON DAO’su
Program sağlayıcısı:
HackerOne
Program türü:
Halk
Maksimum ödül:
5.000 $
Anahat:
TRON DAO, merkezi olmayan uygulamalar, yeni finansal ilkeler ve birlikte çalışabilir blok zincirleri oluşturmak için açık kaynaklı bir platformdur.
notlar:
TRON’un Java kaynak kodu şu anda kapsamdaki tek varlıktır.
Daha fazla ayrıntı için TRON DAO bug ödül sayfasına göz atın
Wato-yumuşak
Program sağlayıcısı:
GObugfree
Program türü:
Özel
Maksimum ödül:
açıklanmadı
Anahat:
Kurumsal kaynak planlama (ERP) yazılımında uzmanlaşmış İsviçre BT hizmetleri firması.
notlar:
Bilgisayar korsanları yalnızca davetle katılabilir.
Daha fazla ayrıntı için Wato-Soft bug ödül sayfasına göz atın
Bu ayki diğer hata ödülleri ve VDP haberleri
ÖNCEKİ BASKI Bug Bounty Radarı // Ocak 2023 için en son bug ödül programları