10 programas de Bug Bounty esenciales de 2022

En 2019, el Estado de la seguridad publicó su lista más reciente de marcos esenciales de recompensas por errores. Numerosas organizaciones y entidades gubernamentales han lanzado sus propios programas de recompensa por vulnerabilidad (VRP) desde entonces. COVID-19 también ha cambiado el panorama de la seguridad digital. Con eso en mente, es hora de una lista actualizada.

Aquí hay 10 programas esenciales de recompensas por errores para 2020. (Estos marcos no están clasificados, sino que se enumeran en orden alfabético).

10. Apple

Sitio web: https://developer.apple.com/security-bounty/

Pago mínimo: $5,000

Pago máximo: $ 1 millón

Primero Anunciado en Black Hat USA 2016, el programa de recompensas por errores de Apple originalmente dio la bienvenida a solo dos docenas de investigadores de seguridad que habían informado previamente sobre vulnerabilidades que habían encontrado en el software del gigante tecnológico. Más tarde, la empresa de tecnología abrió su programa de recompensas por errores a todos los investigadores de seguridad, según lo informado por el borde en diciembre de 2019.

Apple pagará $ 25,000 por fallas que podrían permitir que un actor obtenga acceso no autorizado a la cuenta de iCloud de un usuario. Mientras tanto, entregará $ 100,000 a aquellos que puedan extraer datos parcialmente de un dispositivo bloqueado después del primer desbloqueo. La recompensa más alta es de $ 1 millón por una cadena remota sin clic con ejecución y persistencia completas del kernel.

9. Facebook

Sitio web: https://www.facebook.com/whitehat

Pago mínimo: $500

Pago máximo: Sin monto predeterminado

Aquellos que deseen calificar para una recompensa en el programa de recompensas por errores de Facebook pueden informar un problema de seguridad en Facebook, Atlas, Instagram, WhatsApp y algunos otros productos y adquisiciones que califican. Sin embargo, hay algunos problemas de seguridad que la plataforma de redes sociales considera fuera de los límites. Por ejemplo, los investigadores que informen sobre técnicas de ingeniería social, inyección de contenido o ataques de denegación de servicio (DoS) no serán elegibles para una recompensa.

Según su VRP, Facebook acordó pagar un mínimo de $ 500 por una vulnerabilidad divulgada de manera responsable, aunque algunas fallas de baja gravedad no calificarán a un investigador para una recompensa. Los cazarrecompensas participantes pueden decidir donar sus recompensas a una organización benéfica de su elección. Si eligen hacerlo, Facebook duplicará el premio.

En febrero de 2020, Facebook revelado que había otorgado $ 2.2 millones a investigadores de más de 60 países como parte de su programa de recompensas por errores. Un mes después, la plataforma de redes sociales recompensado $ 55,000 para el investigador Amol Baikar que permitió a un actor secuestrar tokens de acceso cuando un usuario intentó autenticarse en otros sitios web a través de Facebook.

8. GitHub

Sitio web: https://bounty.github.com/

Pago mínimo: $617

Pago máximo: $30,000+

Cientos de investigadores de seguridad han participado en el programa de recompensas por errores de GitHub desde su lanzamiento en junio de 2013. Cada uno de ellos ha ganado puntos por sus envíos de vulnerabilidades según la gravedad de la falla. Según su trabajo en todos los objetivos, aquellos que han acumulado la mayor cantidad de puntos han asegurado una posición en los VRP. Tabla de clasificación.

Las personas que deseen participar en el marco de recompensas por errores de GitHub deben centrar su atención en la API, CSP, Enterprise, Gist, el sitio web principal y todos los servicios propios de la plataforma para desarrolladores. Al enviar un informe de error, los investigadores pueden esperar recibir entre $ 617 y $ 30,000 o más como recompensa. Pero recibirán esa recompensa solo si respetan los datos de los usuarios y no explotan ningún problema para producir un ataque que pueda dañar la integridad de los servicios o la información de GitHub.

En marzo de 2020, GitHub Anunciado que sus pagos totales a los investigadores habían superado $ 1 millón en 2019. Pagó $ 590,000 en recompensas solo ese año.

7. Google

Sitio web: https://www.google.com/about/appsecurity/reward-program/

Pago mínimo: $100

Pago máximo: $31,337

Casi todo el contenido de los dominios .google.com, .youtube.com y .blogger está abierto para el programa de recompensas por vulnerabilidades de Google. El alcance del marco no se aplica a las debilidades que podrían permitir que alguien realice ataques de phishing contra los empleados de Google. El programa cubre solo los problemas de diseño e implementación que afectan la confidencialidad e integridad de los datos del usuario. Estas debilidades incluyen vulnerabilidades XSS y fallas de autenticación.

Al momento de escribir este artículo, las vulnerabilidades de ejecución remota de código en aplicaciones que permiten hacerse cargo de una cuenta de Google, las aplicaciones normales de Google y otras aplicaciones confidenciales obtienen la recompensa más alta de $31,337. Estas fallas incluyen escapes de sandbox, inyección de comandos y debilidades de deserialización. Por el contrario, una falla CSRF o una debilidad de clickjacking en adquisiciones no integradas garantiza solo una recompensa de $ 100.

En muchos aspectos, 2019 fue un gran año para Google y sus programas de recompensas por errores. En agosto, el gigante tecnológico Anunciado que había ampliado el alcance de su programa de recompensas de seguridad de Google Play para incluir todas las aplicaciones de Google Play con más de 100 millones de descargas. También dio a conocer la creación de su Programa de recompensas de protección de datos para desarrolladores en ese momento. El cambio final se produjo unos meses después, cuando Google aumentado el pago máximo por su marco de recompensas por errores de Android a $ 1.5 millones.

En todos estos programas, Google hizo entrega de $6.5 millones en recompensas a investigadores en 2019.

6. HackerOne

Sitio web: https://hackerone.com/security

Pago mínimo: $500

Pago máximo: $15,000+

Lanzado en 2013, el programa de recompensas por errores de HackerOne cubre nueve dominios diferentes del sitio web de la empresa. En https://hackerone.com, por ejemplo, los investigadores de seguridad pueden ganar al menos $500 por una falla de baja gravedad. El precio aumenta a por lo menos $15,000 por una vulnerabilidad crítica. El mismo esquema de premios se aplica a otros tres dominios: https://hackerone-us-west-2-production-attachments.s3-us-west-2.amazonaws.com/, https://api.hackerone.com y * .vpn.hackerone.net. Para los dominios restantes, los investigadores pueden ganar entre $500 y $7500 por una falla de seguridad de baja a alta gravedad.

Dicho esto, HackerOne deja en claro en su sitio web que aceptará errores que estén fuera del alcance de su programa de recompensas por errores. Como algunos ejemplos, HackerOne mencionó a un tercero que filtra datos confidenciales, una vulnerabilidad que afecta los servicios de la empresa u otra amenaza que pone en peligro a HackerOne.

Para obtener una lista de los programas de recompensas por errores de otras organizaciones ofrecidos por HackerOne, haga clic en aquí.

5. Intel

Sitio web: https://security-center.intel.com/BugBountyProgram.aspx

Pago mínimo: $500

Pago máximo: $100,000

Revelado en la conferencia de seguridad CanSecWest en marzo de 2017, el programa de recompensas por errores de Intel tiene como objetivo el hardware de la empresa (procesadores, conjuntos de chips, unidades de estado sólido, etc.), firmware (BIOS, Intel Management Engine, placas base, etc.) y software (controladores de dispositivos, aplicaciones y herramientas). No incluye adquisiciones recientes, la infraestructura web de la empresa, productos de terceros ni nada relacionado con McAfee, una antigua subsidiaria de Intel.

Por una vulnerabilidad crítica descubierta en el hardware de la compañía, los investigadores pueden esperar recibir una recompensa de hasta $100,000. En el otro extremo del espectro, una vulnerabilidad de baja gravedad que afecta al software de Intel le reportará a un cazarrecompensas hasta $500. Dicho esto, si alguien tiene un historial de evitar la divulgación coordinada o es un miembro de la familia de un empleado de Intel, lo más probable es que la empresa no lo admita en su programa.

Intel reparó 236 vulnerabilidades en 2019, informó ZDNet. Solo el 15% de las fallas de seguridad fueron debilidades relacionadas con la CPU.

4. Microsoft

Sitio web: https://technet.microsoft.com/en-us/library/dn425036.aspx

Pago mínimo: Sin monto predeterminado

Pago máximo: $250,000

Las recompensas activas bajo el VRP de Microsoft cambian constantemente. Al momento de escribir este artículo, los investigadores pueden ganar hasta $ 100,000 por descubrir vulnerabilidades en los servicios en la nube de Microsoft aplicables. Aquellos que buscan un pago mayor pueden descubrir problemas de omisión de mitigación o ejecución de código remoto crítico en Hyper-V, errores que generarán recompensas para los cazadores de recompensas de una cantidad de hasta $ 100,000 y $ 250,000, respectivamente.

En julio de 2017, Microsoft lanzó un programa de recompensas por errores de Windows. Bajo ese marco, aquellos que envíen informes sobre una vulnerabilidad elegible que afecte a Windows Insider Preview pueden esperar cobrar hasta $30,000. Un programa hermano para Windows Defender Application Guard (WDAG) tiene el mismo pago máximo.

Desde entonces, Microsoft ha lanzado programas de recompensas por errores para xbox, seguridad IoT y software electoral. Las partes interesadas pueden obtener más información sobre todos los programas que se incluyen en el marco de recompensas por errores de Windows. aquí.

3. Mozilla

Sitio web: https://www.mozilla.org/en-US/security/bug-bounty/

Pago mínimo: $100

Pago máximo: $10,000+

Mozilla lanzó uno de los primeros programas modernos de recompensas por errores en 2004. Trece años después, la organización sin fines de lucro detrás del popular navegador web Firefox relanzó su programa. Su VRP hoy da la bienvenida a los investigadores de seguridad que aceptan no modificar, eliminar o almacenar datos de usuario en sus pruebas del software de Mozilla.

Actualmente, Mozilla ejecuta dos programas diferentes de recompensas por errores. El primero es el de la organización. Programa de recompensas por errores del cliente a través del cual los investigadores pueden informar sobre un exploit remoto, la causa de una escalada de privilegios o una fuga de información en versiones públicas de Firefox o Firefox para Android. Los investigadores participantes pueden recibir $ 500 por informar una vulnerabilidad de bajo impacto y potencialmente más de $ 10,000 por encontrar un escape de sandbox u otra falla de seguridad crítica.

La organización sin fines de lucro también administra un Programa de recompensas por errores web y de servicios. Este marco en particular da la bienvenida a los investigadores de seguridad para informar sobre las debilidades de los errores de ejecución remota de código que afectan a los sitios web críticos, que vienen con un premio de $ 15,000, a las brechas de adquisición de dominio que afectan a los dominios fuera de *.mozilla.org, *.mozilla.com, *.mozilla.net y *.firefox.com, que puede generar $200 para los investigadores.

2. Pentagon

Sitio web: https://www.hackerone.com/resources/hack-the-pentagon

Pago mínimo: $100

Pago máximo: $15,000

Probado por primera vez en una «ejecución piloto» entre abril y mayo de 2016, «Hack the Pentagon» es un programa de recompensas por errores diseñado para identificar y resolver las vulnerabilidades de seguridad que afectan a los sitios web públicos operados por el Departamento de Defensa de los Estados Unidos (DoD). El Servicio de Defensa Digital (DDS) de la agencia creó el marco en asociación con HackerOne. Desde entonces, ha ampliado el programa a otros departamentos, incluido «Hack the Army».

En total, 1.410 investigadores y cazarrecompensas de errores se registraron para participar en el desafío inicial. De ellos, 250 hackers éticos descubrieron un total de 138 vulnerabilidades que Defense Media Activity (DMA) consideró válidas y únicas. Como resultado, el Departamento de Defensa otorgó aproximadamente $75,000 a los investigadores de seguridad solo en el primer año del programa.

El programa de recompensas por errores del Departamento de Defensa ya ha revelado cientos de vulnerabilidades de seguridad en 2020. Por ejemplo, el “Hackear el ejército 2.0El programa descubrió más de 145 fallas. “Hackear la Fuerza Aérea 4.0” descubrió aún más en más de 460 fallas.

1. Zoom

Zoom Video Communications, Inc. solía albergar un programa de recompensas por errores en HackerOne. La empresa todavía tiene una página en la plataforma de investigación de vulnerabilidades. Si bien especifica qué tipos de vulnerabilidades están fuera del alcance del programa de Zoom, la página no proporciona detalles adicionales sobre el esquema. En cambio, indica a los investigadores de seguridad que se comuniquen con el equipo de seguridad de Zoom.

Tras el brote mundial de COVID-19, los investigadores de seguridad descubrieron numerosos problemas afectando a la plataforma de comunicaciones por vídeo. Posteriormente, la empresa se asoció con Luta Security para revisar su programa de recompensas por errores. Al escribir estas líneas, Zoom estaba solicitando retroalimentación de los investigadores de seguridad sobre cómo mejorar su marco de investigación de vulnerabilidades.

¿Crees que nos perdimos un programa esencial de recompensas por errores? Háganos saber en Gorjeo.