Bug bounty program je program odměn, který vás inspiruje k hledání a hlášení chyb. Hlavním cílem programu je identifikovat skryté problémy v konkrétním softwaru nebo webové aplikaci. Reportéři dostávají zaplaceno za nalezení dalších chyb ke zlepšení výkonu. Existuje několik obřích společností, které provozují programy odměn za chyby za účelem zdokonalení softwaru a webových stránek.
Nejlepší Bug Bounty programy
Společnosti s vysokými příjmy obecně provádějí programy odměn za chyby, aby dosáhly většího zisku a zvýšily kvalitu svého produktu. Pokusili jsme se zvýraznit 20 nejlepších bug bounty programů, které po celém světě běží špičkovými společnostmi.
1. Intel
Společnost Intel věří ve spolupráci při zajištění bezpečnosti svého produktu. Společnost Intel zahájila program odměn za chyby, aby povzbudila bezpečnostní pracovníky, aby zkoumali jejich produkty, poznali jejich chyby a řešili je co nejrychleji. Je také přístupný široké veřejnosti a přístupný všem, kteří splňují určité požadavky.
Statistiky tohoto programu
- Společnost Intel se globálně účastní hledání zranitelností a technických chyb ve svých produktech a každoročně provádí tento program odměn za chyby.
- Váš věk musí být 18 let a pokud jste zaměstnáni, musíte si od svých společností vzít písemný souhlas, abyste se mohli účastnit tohoto programu.
- Výzkumníci v oblasti zabezpečení mohou provádět jakékoli produkty Intel, které zahrnují procesor, čipovou sadu, síťová zařízení, SSD a základní desky.
- Budete muset předložit dobře napsanou zprávu se všemi logistickými analýzami a doklady o koncepcích.
- Kdykoli najdete bezpečnostní chybu v jakýchkoli produktech Intel, ať už jde o hardware, firmware nebo software, můžete to prostřednictvím tohoto programu oznámit společnosti Intel a společně vyřešit problém.
Prozkoumejte tento program
2. Yahoo
Verizon Media udržuje program bug bounty programu yahoo. Výzkumníci v oblasti zabezpečení mohou hlásit prostřednictvím Verizon Media, pokud na yahoo najdou nějakou chybu. Před podáním zprávy musí zkontrolovat zásady společnosti Verizon Media. Protože yahoo spojuje lidi v několika oblastech moderní komunikace, musí být plynulý, a tak musí řešit své problémy nalezené reportéry.
Statistiky tohoto programu
- Zranitelnost můžete otestovat pouze proti svému účtu nebo proti jiným účtům se svolením držitelů účtu.
- Žádný výzkumný pracovník nesmí být zapojen do žádné škodlivé a škodlivé činnosti pro společnost Verizon Media a její obavy a další uživatele.
- Nikdo nemá povoleno veřejně rozbalovat chyby zabezpečení bez souhlasu společnosti Verizon Media.
- Při odesílání zprávy musí reportéři do zprávy zahrnout svou IP adresu.
- Yahoo poskytuje odměnu za nahlášené chyby až do výše 15 000 $.
Prozkoumejte tento program
3. Snapchat
Ochrana osobních údajů je pro společnost povinná, aby od zákazníků získala pozitivní reakci. Snapchat je sociální stránka, kde se náhodní lidé spojují. Orgán Snapchat tedy převzal odpovědnost za bezpečnost svých uživatelů a spustil program bug bounty, aby vyřešil každý problém, který může poškodit aplikaci a uživatele.
Statistiky tohoto programu
- Pokud chcete odměnu v rámci programu odměn za bug, musíte být první osobou, která ohlásí konkrétní chybu zabezpečení.
- Přesné podrobnosti o zranitelnosti a kroky k její rekonstrukci a důkazy nutné k pochopení její rizikovosti.
- Pokud chcete získat přístup k jejich kancelářským datům a jejich datovým centrům, nebudete mít nárok na odměnu.
- Testování zranitelnosti je povoleno pouze na osobním účtu a nikoli k prohlížení dat, která patří jiným uživatelům.
- Minimální odměna, kterou zaplatí reportérům za nahlášenou chybu, je 250 $.
Prozkoumejte tento program
4. Dropbox
Dropbox je vzdálený server, na kterém lze ukládat, spravovat a zpracovávat data, nikoli osobní počítač. Tato stránka je citlivým místem, protože se zde ukládají různé druhy osobních údajů lidí. Takže jeho bezpečnostní systém musí být vysoký a mělo by se najít jen velmi málo chyb. Dropbox vítá výzkumníky v oblasti zabezpečení, aby nahlásili, že v aplikaci naleznou nějaký virus.
Statistiky tohoto programu
- K otestování chyby zabezpečení je povolen pouze osobní účet. Jelikož jste nepovoleni, nemůžete přistupovat ani měnit data jiných nebo webových stránek k prozkoumání.
- Pokud provedete průzkum, který se orgánu zdá zajímavý, získáte bonusovou odměnu.
- Reportéři, kteří hlásí z XSS, budou přijímáni v subdoménách schránky.com, ale nedostane žádnou odměnu.
- Pokud porušíte zásady programu odměn za chybu Dropbox, úřad proti vám žádný případ nenastaví.
- Minimální hodnota dropboxu platící výzkumníkovi za hlášení je 216 $.
Prozkoumejte tento program
5. Facebook Bug Bounty Program
Facebook je nejoblíbenější sociální stránka. Snaží se zajistit nejvyšší bezpečnost, protože většina lidí dnes používá Facebook a sdílí náhodné věci citlivé nebo necitlivé prostřednictvím programu Facebook Bug Bounty. Je těžké najít každou chybu na jejich webu okamžitě. Vítají tedy výzkumníky, aby na svých webových stránkách našli chyby a dali jim vědět, že oceňují některé zásady.
Statistiky tohoto programu
- Účasť je zakázána orgánem Facebooku, pokud komunikujete s jiným účtem bez souhlasu vlastníka.
- Facebook si vyhrazuje právo zveřejnit jakoukoli zprávu, pokud ji potřebuje. Všechna pravidla a předpisy přísně dodržuje program odměn za bug na Facebooku.
- Vaše zpráva musí popisovat jeden produkt nebo službu ze seznamu rozsahu programu odměn za chyby.
- U programu odměn za chyby neumožňuje Facebook přístup k uživatelským údajům společnosti nebo jakékoli identifikovatelné osoby.
- Kromě problémů s nízkým rizikem vyplácí Facebook reportérům minimální odměnu 500 $.
Prozkoumejte tento program
6. Google
Google považuje odměnu svého programu odměn za chyby za čest reportérům za zprávy, které odeslali, a pomohl Googlu jej opravit. Protože mají různé sektory pro provozování různých typů polí, potřebují další zabezpečení; proto si Google tolik váží výzkumných pracovníků, protože mohou získat dostatek hlášení o chybách, aby mohli svou platformu vyřešit a zvýšit plynulost. Obrovské množství dat je chráněno a uchováváno v bezpečné ruce jako součást programu odměn za bug google.
Statistiky tohoto programu
- Google umožňuje výzkumným pracovníkům hlásit, pokud najdou chybu, která ovlivní soukromí jejich uživatelů i společnosti.
- Pokud můžete na web vložit škodlivé kódy a integrovat tak uživatelská data, můžete to nahlásit programu odměňování bugů Google.
- Google neumožňuje žádnému výzkumníkovi cílit na účty jiných uživatelů, ale na jeho účet.
- Google bug bounty program je pouze pro problémy související s jeho designem a implementací.
- Google nabízí minimálně 100 $ jako odměnu za odměnu.
Prozkoumejte tento program
7. Mozilla
Hlavním cílem Mozilly je učinit z internetu bezpečnější místo. K tomu by se měli nejprve zajistit. Pokud jejich bezpečnost není v pořádku, mohou být data uložená v jejich datovém centru zveřejněna, což bude mít škodlivý dopad na jejich web a lidé přestanou používat jejich weby.
Statistiky tohoto programu
- Umožňuje pouze dospělým lidem v souladu s ústavou země nebo svolením opatrovníka účastnit se programu odměn za chyby.
- Upřednostňuje použití osobního účtu pro výzkum zabezpečení, aby se zabránilo netušenému přístupu a správě dat uživatelů nebo Mozilly.
- Mozilla povoluje v programu bug bounty pouze čerstvé a nehlášené chyby.
- Upřednostňuje pouze „sec-critical“ nebo „sec-high“ a někdy „sec-medium“ chyby určené komisí odměn.
- Výbor Mozilla Bounty přijme konečné rozhodnutí v programu bug bounty, který vyhodnotí hrozný účinek chyby.
Prozkoumejte tento program
8. Microsoft
Microsoft věří, že bezpečnostní vyšetřovatelé hrají významnou roli ve schématu internetu. Když zjistí problémy se zabezpečením, díky nimž je internet bezpečnějším místem, mohou za chyby odesílat zprávy chyby společnosti Microsoft. Rovněž věří, že bezpečnost zákazníka závisí na partnerství mezi autoritou společnosti a bezpečnostním výzkumníkem. Nabízejí velkou pobídku také jako odměny za odměnu.
Statistiky tohoto programu
- Upřednostňuje příspěvky obsahující kroky k reprodukci zranitelnosti, která je urychluje při řešení problému a platí vyšší odměnu.
- Microsoft i nadále nabídne odměnu vědcům, pokud najdou chybu, kterou si Microsoft všiml již dříve.
- Za účelem zabezpečení zákazníků společnost Microsoft oceňuje, že vědci informují úřad o jakékoli chybě zabezpečení před zveřejněním.
- Upřednostňuje výzkumné pracovníky, aby nepoškodili soukromí svých uživatelů ani jejich společnosti.
- Minimální odměna za odměnu za chyby společnosti Microsoft je 15 000 $.
Prozkoumejte tento program
9. Vimeo
Každá společnost chce stoprocentně bezpečný, zabezpečený a uživatelsky přívětivý web. Pracovníci tvrdě pracují na dosažení této 100% bezpečnosti. Vimeo je jednou z největších video platforem, kde jsou k dispozici miliony videí, a jejich počet se často zvyšuje. Úřady Vimeo usilovně pracují na zajištění bezpečnosti videí na jejich stránkách a zabezpečení uživatelských účtů.
Statistiky tohoto programu
- Vimeo kontroluje zprávy o zranitelnosti na různých úrovních, aby zajistil nebezpečí zranitelnosti.
- V této zprávě dává Vimeo přednost reprodukci nahlášené chyby.
- Protože základní účty Vimeo jsou zdarma, Vimeo zakazuje výzkumníkům, aby neriskovali používání údajů jiných uživatelů.
- Vimeo zveřejní jakoukoli chybu zabezpečení, pokud to požaduje původní reportér, ale chybu je třeba nejprve vyřešit.
- V rámci programu odměn za chyby odměňuje Vimeo minimálně 500 $ a maximálně 5 000 $ za vynikající výsledky výzkumného pracovníka.
Prozkoumejte tento program
10. Cvrlikání
Twitter věří v úsilí komunity. Děkují vědcům, kteří slouží svému drahocennému času při hledání zranitelnosti na Twitteru. Vědci záměrně nebo neúmyslně udržují Twitter v bezpečí. Na počest příspěvku k bezpečnosti a zabezpečení Twitter odměňuje reportéry obrovským množstvím odměn za odměnu v rámci jejich programu odměn za chyby.
Statistiky tohoto programu
- Twitter počítá jako prvního reportéra jakékoli zranitelnosti, který dává odměny.
- Přísně zakazuje jakýkoli pokus o přístup k datům svých uživatelů a datového centra twitteru pro účely bezpečnostního výzkumu.
- Oznámení odmítne, pokud zjistí, že porušuje jejich pravidla.
- Pokud se člověk pokusí napodobit uživatele falšováním dat za účelem hledání chyb, nebude mít nárok na program odměn ani jako reportér.
- Minimální hodnota, kterou Twitter platí za bug bounty program, je 140 $.
Prozkoumejte tento program
11. Avast Bug Bounty Program
Avast je antivirová ochrana počítače. Jelikož zajišťuje bezpečnost viru napadajícího síť, musí být sama Avast bezpečná. Avast závisí na bezpečnosti svých výzkumných pracovníků. Aby Avast inspiroval vědce k prozkoumání jejich stránek a produktů, provozuje program odměn za chyby, kde jsou reportéři odměněni penězi.
Statistiky tohoto programu
- Přijímá hlášení o chybě, která obsahují dostatek podrobností o chybě, postupech její reprodukce a o tom, jak škodí.
- V programu bug bounty jsou brány v úvahu chyby v nejnovější verzi všech produktů Avast.
- Avast upřednostňuje prvního reportéra, pokud existují dvě osoby, které mají hlásit stejnou chybu.
- Oprava může nějakou dobu trvat, v závislosti na chybách. Výzkumníci budou vyplaceni po odstranění chyby.
- Hodnota odměny začíná od 400 $ a na základě chyb se může zvýšit. Nejvyšší odměny se vyplácejí za chyby při provádění vzdáleného kódu, což je 6 000 až více než 10 000 $.
Prozkoumejte tento program
12. Paypal
Paypal je systém platební brány, který zjednodušuje platby mezi lidmi. Každý účet Paypal je propojen s kreditní kartou, která způsobila, že autorita vzbudila myšlenku na bezpečnost a zabezpečení. Protože Paypal pracuje s penězi a platbami, je důležitější zajistit jejich stránky v bezpečí, aby byly peníze lidí v bezpečí a společnost byla spolehlivá pro své zákazníky.
Statistiky tohoto programu
- Reportér musí být starší 14 let nebo musí mít souhlas opatrovníka k hlášení ve věku 14 let.
- Do zprávy musí být zahrnuty podrobnosti, videa, snímky obrazovky, dopravní protokoly, e-mailové adresy, adresy IP, ze kterých byla chyba zabezpečení zkontrolována.
- Aby se reportér mohl kvalifikovat do programu odměn, musí být první osobou, která nahlásí chybu, přičemž bude dodržovat podmínky. Bezpečnostní tým PayPal také musí určit zranitelnost.
- Účastníci programu odměn za bug jsou odměněni minimální částkou 50 $ jako odměny za odměnu.
- Po zajištění zranitelnosti, částečné výše odměny a po vyřešení problému je výzkumníkovi dána další částka odměny.
Prozkoumejte tento program
13. Starbucks
Starbucks je americká kavárenská společnost, která je nyní k dispozici v mnoha zemích. Jelikož se nyní jedná o řetězovou společnost, musí se úřad o své stránky zvlášť starat. Zákazníci jsou pro všechny společnosti prioritou, a proto Starbucks. Nechtějí, aby jejich data nebo informace o zákazníkovi byly poškozeny škodlivým softwarem.
Statistiky tohoto programu
- Úmyslné poškození použitelnosti, pokus o přístup a změnu uživatelských dat, rozbalení chyby zabezpečení dříve, než úřad zakáže kontroly Starbucks.
- První reportéři, kteří podají zprávu o jakékoli zranitelnosti, mají vždy prioritu a nakonec jsou odměněni odměnami za odměnu.
- Starbucks omezuje účast jakékoli osoby z jejích partnerů na jejich programu odměn za chyby.
- Upřednostňuje kroky reprodukce chyby zabezpečení ve zprávě.
- Minimální odměna pro vědce je 100 $ a maximální je až 4000 $ v závislosti na nebezpečí viru.
Prozkoumejte tento program
14. Shopify
Shopify je webová stránka elektronického obchodování, kde lze nakupovat a prodávat jakékoli produkty online. Aby byla stránka plynulejší pro své zákazníky, potřebuje Shopify vědět, zda existuje nějaká chyba omezující bezproblémové používání jejích webových stránek. Shopify odměňuje reportéry v rámci programu odměn za chyby, kterému říkají program Whitehat.
Statistiky tohoto programu
- Shopify se snaží oslovit každého reportéra v jeden pracovní den a pokusí se zkontrolovat a vyřešit zranitelnost do dvou dnů.
- Do sedmi dnů od vyřešení problému se autorita pokusí novináře odměnit.
- Před řešením je veřejné odhalení zranitelnosti zakázáno.
- Interakce s jinými obchody spíše než s vaším obchodem vás povede k tomu, že nebudete způsobilí v programu odměn za chyby.
- Minimální odměna za odměnu jejich programu Whitehat je 500 $ a má to motivovat výzkumníky.
Prozkoumejte tento program
15. WordPress
WordPress je platforma pro vytváření webových stránek nebo systém pro správu obsahu, prostřednictvím kterých již byly vytvořeny miliony webových stránek, a jejich počet rychle roste. Protože webové stránky obsahují mnoho citlivých informací, které by neměly být zveřejňovány, WordPress potřebuje správný bezpečnostní systém, protože obsahuje miliardy dat z různých webů. Výzkumníci v oblasti bezpečnosti jim pomáhají tiše najít opomenutí na webu.
Statistiky tohoto programu
- Reportér musí být první osobou, která o této chybě informuje.
- WordPress vezme komentář reportérů, pokud se nahlášené chyby opraví, ale nebudou se reportérům líbit.
- WordPress vítá vědce, aby diskutovali s úřadem, pokud by se zmátli, a přemýšleli, zda našli chybu nebo ne.
- Vývojáři WordPressu potvrzují dostupnost nahlášené chyby a vyjadřují názor, zda je třeba ji opravit nebo ne.
Prozkoumejte tento program
16. Zomato Bug Bounty Program
Zomato je platforma vytvořená dvěma indiány, kde lze vyhledávat restaurace a všechny další informace, jako je nabídka, recenze uživatelů atd., po celé Indii. Zomato vítá výzkumné pracovníky z oblasti bezpečnosti, kteří zkoumají na svých webových stránkách, aby jejich stránky zprůhlednili uživatelům. Zranitelnosti zpomalily web a uživatelé považují za nepříjemné používat pomalou webovou aplikaci.
Statistiky tohoto programu
- Pro kontroly zranitelnosti lze použít pouze účty ve vlastnictví a další účty se svolením držitele účtu.
- Odměny jsou poskytovány podle úrovně nebezpečí chyb, kterou určí bezpečnostní tým společnosti Zomato.
- Zveřejnění této chyby zabezpečení dříve, než společnost vyřeší, bude mít za následek diskvalifikaci z programu odměn za chyby.
- Odměna, kterou Zomato vyplatí kterémukoli výzkumníkovi, je až 2 000 $ a ne méně než 150 $.
Prozkoumejte tento program
17. Netflix
Netflix je zábavní platforma, která přináší potěšení lidem po celém světě. Jejich odpovědnost za zajištění bezpečnosti jejich členů a orgánů společnosti. Jsou připojeni ke komunitě zabezpečení za posledních pět let, aby věděli o zranitelnostech na jejich webu a v aplikaci. Platí vysokou odměnu za příspěvek výzkumných pracovníků a také za jejich povzbuzení.
Statistiky tohoto programu
- Netflix striktně embarguje na testování, pokud některý výzkumník omylem zadá uživatelská data nebo data Netflixu.
- Upřednostňuje snímky obrazovky, videa nebo jiné nezbytné soubory v přehledu. Odesílání by se však mělo provádět prostřednictvím davu chyb a nepoužívat žádný jiný web.
- Výzkum mimo rozsah bude mít za následek diskvalifikaci z programu odměn za chyby.
- Za škodlivé činy týkající se uživatelské zkušenosti pro výzkumné účely bude výzkumný pracovník diskvalifikován.
- Minimální odměna v rámci jejich programu odměn za chyby je 200 $ a za kritické chyby bude výzkumníkům vyplacena odměna 2 000 $ a někdy i více.
Prozkoumejte tento program
18. Výplata
Paytm je platforma platební brány, kde si lidé mohou navzájem převádět peníze. Jelikož provádí transakce s penězi, musí být zajištěna bezpečnost orgánu. Vždy udržují kontakt s výzkumnými pracovníky v oblasti zabezpečení a oceňují jejich práci při hledání chyb na jejich webových stránkách, díky nimž jsou jejich stránky a systém bezpečnější. Aby společnost Paytm uznala jejich příspěvek, vyplácí odměnu vědcům za jejich tvrdou práci.
Statistiky tohoto programu
- Pro výzkum můžete použít pouze svůj účet a nepoužívat účty ani uživatelská data jiných uživatelů.
- Upřednostňuje kódy atributů nebo snímky obrazovky ve zprávě o jakékoli chybě zabezpečení.
- Paytm někdy poskytuje digitální certifikáty za peněžní odměny.
- Minimální odměna za program odměn za bug je 1000 INR, což odpovídá téměř 14 $.
- Paytm rozhodne, kdy a jak chybu opraví.
Prozkoumejte tento program
19. Coinbase Bug Bounty Program
Coinbase je platforma pro výměnu kryptoměny. Výměna jakékoli měny kdekoli musí být hladká, bezpečná a zabezpečená. To je důvod, proč si Coinbase váží vztahu mezi bezpečnostními výzkumníky a společností. Vědci se opravdu snaží najít virus na webu a informovat o tom společnost. Opravením chyby se společnosti dostaly na další úroveň modifikace, a tedy Coinbase.
Statistiky tohoto programu
- Podvod vůči zákazníkům za účelem jejich vlastního výzkumu bude mít za následek diskvalifikaci.
- Odměny v rámci programu odměn za chyby jsou reportérům poskytovány na základě nebezpečí zranitelnosti.
- Zpráva by měla obsahovat postupný krok k dosažení této chyby zabezpečení. Tímto způsobem je pro bezpečnostní tým pohodlnější opravit chybu.
- Minimální odměna je 200 $ a maximální odměna je 50 000 $, kterou společnost Coinbase vyplatila novinářům.
Prozkoumejte tento program
20. Urvat
Grab je webová aplikace pro sdílení jízd, pomocí které si lidé mohou pro svoji přepravu pronajmout auto. Webová aplikace pro sdílení jízd obsahuje mnoho uživatelských dat, která by neměla být zveřejněna. Mohlo by to poškodit uživatele webové aplikace. Grab věří, že existují výzkumníci v oblasti bezpečnosti, kteří jim mohou pomoci zjistit chyby na jejich webových stránkách. Grab je odmění za jejich příspěvek.
Statistiky tohoto programu
- Reportéři musí být první osobou, která podá zprávu o konkrétní zranitelnosti.
- Popis, spolu s kroky reprodukce viru, je nutné předložit zprávu. V přehledu by měl být snímek obrazovky a kód atributu, pokud jsou k dispozici.
- Grab vyplácí odměnu podle úrovně nebezpečnosti zranitelnosti, která je stanovena na schůzce s odměnami.
- Pokud existuje jedna zpráva o jedné chybě zabezpečení, ale lze ji opravit více systémů zranitelnosti při opravě této chyby, Grab to počítá jako jednu chybu zabezpečení.
- Platí až 10 000 $ a ne méně než 200 $ za jednu chybu v programu odměn za chyby.
Prozkoumejte tento program
Nakonec Insights
Aby byl internet na bezpečném místě, je užitečný program odměn za chyby. Chcete-li se účastnit jakéhokoli programu odměn za chyby, měli byste si vždy pamatovat, že musí být první, kdo najde konkrétní zranitelnost a nahlásí ji společnosti podle zásad společnosti. Za porušení se nikdy neuvažuje; je přísně zakázáno. A společnosti by neměly dělat podvodné programy odměn. Protože programy odměn lidi vždy povzbuzují a motivují k práci s duchem. Čím více víry roste, tím bezpečnější je internet.