Zeki bilgisayar korsanı için yeni web hedefleri
Geçen ay iki İtalyan güvenlik araştırmacısı, bir yanlış yapılandırma güvenlik açığı keşfettikten sonra 46.000 dolardan fazla hata ödülü kazandıklarını açıkladı. Akamai – Akamai’nin kendisinden hiçbir şey almamasına rağmen.
HTTP kaçakçılığı ve atlamadan atlama başlık kötüye kullanma tekniklerinden yararlanan istismar, bunun yerine şirketin birkaç müşterisinden ödeme aldı. Bunlara PayPal’dan 25.200 $ ve Airbnb, Hyatt Hotels, Valve, Zomato ve Goldman Sachs’tan ödüller dahildir.
Diğer ödeme haberlerinde, araştırmacı Saajan Bhujel, şirketinden 10.000 dolarlık bir ödül aldı. GitHub platformun oturum açma arayüzünü taklit etmenin bir yolunu bulduktan sonra. MathJax görüntüleme motorunda HTML filtrelemesini atlamak, form öğelerini enjekte etmesine ve web sitesinin CSS’sini değiştirmesine izin vererek, kullanıcıları sahte bir oturum açma sayfasına kimlik bilgilerini girmeleri için potansiyel olarak kandırdı.
Bu arada Apple, araştırmacıları başvuruda bulunmaya davet etti. Apple Güvenlik Araştırma Cihazı Programıbaşvurular Kasım ayı sonuna kadar açık.
Başarılı uygulamalar, iOS güvenlik araştırmalarının güvenlik özelliklerini atlamadan gerçekleştirilmesine olanak tanıyan, özel olarak kaynaşmış bir iPhone olan bir Güvenlik Araştırma Cihazı (SRD) alacak. Kabuk erişimi mevcuttur ve araştırmacılar herhangi bir aracı çalıştırabilir, kendi yetkilerini seçebilir ve çekirdeği özelleştirebilir.
Apple ayrıca ‘Apple Güvenlik Araştırması‘ web sitesi, araştırmacılar ile artık gerçek zamanlı durum güncellemeleri yoluyla hata raporlarını izleyebiliyor. Program, 2,5 yıl önce başlatıldığından bu yana yaklaşık 20 milyon dolar ödül ödedi.
Bu arada, İsviçre Ulusal Siber Güvenlik Merkezi (NCSC) federal hükümetin web uygulamalarını, API’lerini ve kritik altyapısını araştırmayı içeren özel bir hata ödül programı başlattı.
AmazonHackerOne tarafından yönetilen yeni donanım odaklı programı, Fire, Echo, FireTV, Halo, Luna Controller ve Kindle cihazlarındaki hatalar ve ilgili uygulamalar ve bellenim için 25,00 dolara kadar değişen ödüller sunuyor.
Ve son olarak, ABD Savunma Bakanlığı Temmuz ayında gerçekleşen bir hackathon sırasında 267 araştırmacı tarafından sunulan 648 hata raporu için toplam 75.000 dolar ödül ödediğini söyledi.
Kasım 2022 için en son hata ödül programları
Geçen ay birkaç yeni hata ödül programı geldi. İşte en son girişlerin bir listesi:
Apple Güvenlik Araştırma Cihazı Programı
Program sağlayıcısı:
Bağımsız
Program türü:
Özel
Maksimum ödül:
1 milyon dolar
Anahat:
Apple, seçilen güvenlik araştırmacılarına, güvenlik özelliklerini atlamaya gerek kalmadan kabuk erişimine, çekirdek özelleştirmesine ve iOS güvenlik araştırmasına izin veren özel olarak kaynaşmış bir iPhone olan bir Güvenlik Araştırma Cihazı (SRD) gönderecek.
Notlar:
Başvurular, başarılı adayların 12 aylık yenilenebilir dönemler için bir SRD almaları ve yükseltilmiş Apple Güvenlik Ödülü aracılığıyla potansiyel olarak ödüller için uygun olmalarıyla birlikte 30 Kasım 2022’ye kadar sunulabilir.
Daha fazla ayrıntı için Apple SRD hata ödül sayfasına göz atın
Amazon
Program sağlayıcısı:
HackerBir
Program türü:
Halk
Maksimum ödül:
25.000 ABD Doları
Anahat:
Fire, Echo, FireTV, Halo, Luna Controller ve Kindle cihazları, ilgili uygulamalar ve bellenimle birlikte Amazon Güvenlik Açığı Araştırma Programı kapsamındaki 36 varlığı oluşturur.
Notlar:
Hizmetlerdeki ve uygulamalardaki hatalar için ödüller 20.000 ABD Dolarına kadar çıkarken, cihazlar için ödüller 25.000 ABD Dolarına kadar yükseliyor.
Daha fazla ayrıntı için Amazon hata ödül sayfasına göz atın
fasulye sapı
Program sağlayıcısı:
bağışıklık
Program türü:
Halk
Maksimum ödül:
1,1 milyon dolar
Anahat:
Ethereum üzerine kurulu, izinsiz bir fiat sabit para protokolü olan Beanstalk için hata ödül programı, akıllı sözleşmelere ve kullanıcı fonlarının kaybını önlemeye odaklanır.
Notlar:
Beanstalk, kendisini “Bean adlı bir stabilcoin olan yerel fiat para biriminin pozitif taşınmasıyla kolaylaştırılan, Ethereum’a özgü, rantsız bir ekonominin parasal temelini” oluşturmak olarak tanımlıyor.
Daha fazla ayrıntı için Beanstalk hata ödül sayfasına göz atın
Büyük Ticaret
Program sağlayıcısı:
böcek topluluğu
Program türü:
Halk
Maksimum ödül:
2.500$
Anahat:
Perakendecilere NASDAQ listesinde yer alan Hizmet Olarak Yazılım (SaaS) e-ticaret hizmetleri sağlayıcısı.
Notlar:
Geçerli hedefler, bigcommerce.net, bigcommerce.com ve ilgili iOS ve Android uygulamalarını içerir.
Daha fazla ayrıntı için BigCommerce hata ödül sayfasına göz atın
Karışım Laboratuvarları
Program sağlayıcısı:
HackerBir
Program türü:
Halk
Maksimum ödül:
5.000 $
Anahat:
Blend Labs, ABD’deki finansal hizmet firmaları için bulut tabanlı yazılım sağlayıcısıdır.
Notlar:
Kapsam dahilinde sadece bir hedef var – knox.beta.blendlabs.com – blend.com uygun bir hedef değil.
Daha fazla ayrıntı için Blend Labs hata ödül sayfasına göz atın
şaka olacak
Program sağlayıcısı:
HackerBir
Program türü:
Halk
Maksimum ödül:
$6,000
Anahat:
Amsterdam merkezli kripto para opsiyon borsası, kritik güvenlik açıkları için 2.500 ila 6.000 dolar arasında teklif veriyor.
Notlar:
Teste yalnızca Deribit’in test ortamında izin verilir.
Daha fazla ayrıntı için Deribit hata ödül sayfasına göz atın
Orman Akıllı Sözleşme
Program sağlayıcısı:
HackenProof
Program türü:
Özel
Maksimum ödül:
1 milyon dolar
Anahat:
Dijital ürünler, sanat eserleri, koleksiyonlar ve blok zinciri tarafından desteklenen diğer sanal varlıklar için eşler arası bir NFT pazarı.
Notlar:
Bazı 14 protokol kapsam dahilindedir.
Daha fazla ayrıntı için Jungle Smart Contract hata ödül sayfasına göz atın
Polkadot ve Kusama’da Lido
Program sağlayıcısı:
bağışıklık
Program türü:
Halk
Maksimum ödül:
2 milyon dolar
Anahat:
Ethereum için sıvı staking çözümü olan Lido, DOT (Polkadot) ve KSM (Kusama) odaklı hata ödül programları başlattı.
Notlar:
Akıllı sözleşme hataları 2 milyon dolara kadar ödül verebilirken, web siteleri ve uygulamalardaki kusurlar 40.000 doları buluyor.
Daha fazla ayrıntı için Polkadot ve Kusama hata ödül sayfalarındaki Lido’ya göz atın
Özel İnternet Erişimi (PIA)
Program sağlayıcısı:
böcek topluluğu
Program türü:
Halk
Maksimum ödül:
$1.250
Anahat:
Zaten bir güvenlik açığı açıklama programına sahip olan PIA, şimdi araştırmacıları teknolojilerini 1.250 dolara kadar değişen ödüllerle araştırmaya teşvik ediyor.
Notlar:
Öncelikli hatalar, uzaktan kod yürütülmesine, VPN sunucularına lisanssız erişime veya üçüncü taraf izlemesine veya kullanıcı verilerinin sızdırılmasına izin veren hatalardır.
Daha fazla ayrıntı için PIA hata ödül sayfasına göz atın
Kayıt odası
Program sağlayıcısı:
böcek topluluğu
Program türü:
Halk
Maksimum ödül:
2.500$
Anahat:
Windows, Xbox, PlayStation, Oculus Quest, Apple cihazları ve Android’de kullanılabilen bir video oyunu ve video oyunu oluşturma platformu.
Notlar:
Rec Room web uygulaması ve API kapsam dahilindedir, ancak ücretsiz, platformlar arası Rec Room oyunu “birincil hedeftir”.
Daha fazla ayrıntı için Dinlenme Odası hata ödül sayfasına göz atın
redoks
Program sağlayıcısı:
böcek topluluğu
Program türü:
Halk
Maksimum ödül:
5.000 $
Anahat:
Redox teknolojisi, elektronik sağlık kayıtlarının kuruluşlar arasında transferini kolaylaştırır.
Notlar:
Kritik hatalar normalde 3.000-4500 $ arasında ödüller alır, ancak “platformun anlaşılmasını yansıtan ve güvenlik açığını ve etkisini ve bunun açık ve net bir şekilde nasıl çözüleceğini açıklayabilen” gönderimler 5.000 $ ‘lık net ödüller verebilir.
Daha fazla ayrıntı için Redox hata ödül sayfasına göz atın
Stravito
Program sağlayıcısı:
Birleşik
Program türü:
Halk
Maksimum ödül:
açıklanmayan
Anahat:
Pazar araştırma platformu, müşterileri arasında McDonalds, Electrolux, Comcast ve Carlsberg olduğunu iddia ediyor.
Notlar:
Said Stravito’nun kurucusu ve CEO’su Thor Olof Philogène: “Bu alandaki liderler Intigriti ile ortaklık, alanımızdaki en sağlam ve güvenli platformu sunmaya devam ettiğimizden emin olmak için ek bir stres testi katmanı eklememize izin veriyor.”
Daha fazla ayrıntı için Stravito hata ödül sayfasına göz atın
İsviçre Ulusal Siber Güvenlik Merkezi
Program sağlayıcısı:
Hata Ödülü İsviçre
Program türü:
Özel
Maksimum ödül:
açıklanmayan
Anahat:
İsviçre Ulusal Siber Güvenlik Merkezi (NCSC), federal hükümetin web uygulamaları, API’leri ve kritik altyapısındaki hatalar için başvurular arıyor.
Notlar:
tarafından daha önce bildirildiği gibi Günlük Swigprogram, 2021’de etik bilgisayar korsanlarının İsviçre parlamentosu ve Federal Dışişleri Bakanlığı’nın BT sistemlerini güvenlik açıkları için araştırdığı bir pilot projeyi takip ediyor.
Daha fazla ayrıntı için İsviçre NCSC hata ödül sayfasına göz atın
Bu ayki diğer hata ödülü ve VDP haberleri
- HackerBir hata avcılarına yardımcı olmak için ‘Hacker Başarı Yöneticilerinin’ sayısını artırıyor ve HackerOne Assets adlı yeni bir saldırı yüzeyi yönetim platformu başlattı
- böcek topluluğu artık bir CVE numaralandırma yetkilisidir ve ayrıca müşterilerin kalem testi, hata ödülü, VDP ve ASM varlıklarını koordine etmelerine yardımcı olmak için bir program yönetim platformu başlattı
- Avrupa platformu Birleşik ‘Etki için ödeme’ hata ödül modelini özel sızma testi kaynak bulma stratejisiyle birleştirmeyi iddia eden Hybrid Pentesting’i başlattı
- EvetWeHack anahtar teslimi bir güvenlik açığı açıklama programı barındırma çözümü olan MyOpenVDP’yi başlattı
- Açık Hata Ödülü platformun piyasaya sürülmesinden sekiz yıl sonra bildirilen ve yamalanan bir milyon web güvenlik açığı (PDF) oluşturma kilometre taşını aştı
Adam Bannister küratörlüğünde. Emma Woollacott tarafından ek raporlama.
ÖNCEKİ BASKI Hata Ödül Radarı // Ekim 2022 için en son hata ödül programları