Баунти программа: Баунти-программа: что это и как на этом заработать

Баунти-программа: что это и как на этом заработать

Что такое баунти-программа

Фото: depositphotos

Баунти-программа – возможность участвовать в ICO криптовалюты без прямых вложений. Разработчики криптовалюты предлагают пользователям выполнить определённые действия, чтобы получить токены. Действия и их цели могут быть разными. Например, баунти может быть направлена на привлечение новых пользователей и популяризацию криптовалюты.

Чаще всего баунти-программы направлены именно на популяризацию через соцсети. Например, вы можете оставить отзывы о крипте у себя на странице в «Фейсбуке». И в зависимости от охвата поста и количества ваших подписчиков, на ваш счёт будет зачислена определённая награда.

Каждая криптовалюта предполагает проведение баунти-программы до или после ICO. Обычно на неё выделяется большое количество токенов.

Во время загрузки произошла ошибка.

Баунти-программы включают в себя четыре направления:

1. Написание материалов в СМИ и блогах;
2. Написание постов и отзывов о криптовалюте в соцсетях;
3. Фолловинг и шеринг в соцсетях;
4. Техническая помощь разработчикам – поиск багов, разработка дизайна, проведение PR-кампании.

Часть баунти-кампании, направленная на социальную активность, может проводиться на различных площадках. В целом, ограничений нет, но большинство разработчиков имеют приоритеты по соцсетям. Например, большинство баунти хотят видеть отзывы о себе в «Фейсбуке», «Телеграме» и «Твиттере». Но в идеале, конечно, посты размещают в независимых блогах и медиа.

Как проводится баунти

Для того, чтобы привлечь внимание людей к будущему проекту и заставить их его обсуждать, нужно опубликовать много информации о криптовалюте и ICO. Также нужно провести целую кампанию по поиску потенциальных вкладчиков.

Самым популярным методом нахождения публики является пиар-кампания в социальных сетях. Это обычные лайки, репосты, взаимные фолловинги. Этот метод, хоть и является самым эффективным, стоит гораздо дешевле остальных, поскольку такой деятельностью могут заниматься любые пользователи. В зависимости от охвата, человек будет получать своё количество токенов ещё до начала стадии ICO.

Во время загрузки произошла ошибка.

Большую награду получают владельцы крупных блогов, публикующих посты о криптовалюте. Как и с соцсетями, количество заработанных токенов зависит от просмотров и активности пользователей.

Важную роль играют переводчики текстов. Любой проект стремится быть мультиязычным – так он сможет охватить большее число людей. Поэтому баунти-программа нуждается в привлечении переводчиков текстов. Эти тексты могут быть как постами в соцсетях, так и колонками в блогах. Переводчики тоже получают большую награду в баунти-программе.

Также последнее время разработчики часто начали вставлять ссылки на свой проект в подписи на знаменитом криптофоруме Bitcointalk. Этот метод стал популярен у стартаперов после того, как они заметили его эффективность. Вознаграждение, как всегда, зависит от пользовательской активности. В данном случае – от количества переходов по ссылке.

Во время загрузки произошла ошибка.

Как выбрать баунти-программу

Чтобы заработать больше денег на баунти, нужно найти такой проект, где будет выгодно работать. Для этого нужно провести тщательный анализ рынка ICO и найти приемлемую программу. Вот критерии, по которым следует оценивать баунти-программу:

1. Количество участников баунти-программы. Вам нужно успеть «заскочить» быстрее остальных, ибо при большом количестве участников, каждый получит меньшую награду, чем получил бы при меньшем количестве. То есть ваша награда обратно пропорциональна количеству участников в проекте. Но это правило не распространяется на те баунти, в которых награда распространяется в зависимости от количества проделанной работы.
2. Известность разработчиков. Проект, из которого вы собираетесь извлечь деньги, должен иметь авторитетных создателей, которые полностью несут ответственность за свою криптовалюту. Про разработчиков можно узнать на том же форуме Bitcointalk. Желательно, чтобы они имели открытые профили в соцсетях и выступали на конференциях или вебинарах. Вам нужно знать личности разработчиков, чтобы осознавать, на что вы идёте. Может, у них был в прошлом опыт запуска другой криптовалюты? Может, он провалился? В общем, вы должны узнать максимально много про разработчиков проекта.
3. Возможность выполнения работы. Вы должны внимательно оценить, «вывезете» ли вы такую нагрузку и такое количество работы, которое надо выполнить на баунти. Например, вы справитесь с написанием 20 постов в соцсетях. Но вряд ли сможете написать 30 колонок в блоге, да ещё и с переводом. Тут тоже надо внимательно ознакомиться с условиями баунти-программы.
4. Собранные деньги. Вы должны узнать, сколько денег успел привлечь проект до того, как вы в него вошли. Например, если программа не осилила $100 тысяч за неделю после старта, то вам вряд ли нужно напрягаться с таким баунти. В итоге вы просто получите за свою работу 2 копейки, равно как и остальные участники баунти. Так себе перспектива.
5. Отношение к вам управляющих проектом. Если на каком-то этапе вы поняли, что ваши сообщения, вопросы или просьбы игнорят, то лучше соскочить с проекта. Если уже на стадии баунти менеджеры так относятся к участникам проекта, то не стоит от них ждать честного выполнения обещаний. Этот совет особенно популярен на форумах от людей с горьким опытом ведения дел с подобными менеджерами.

Раздел форума Bitcointalk, посвящённый баунти

Где найти баунти-программы

Вся информация о баунти-программах появляется на форуме Bitcointalk. Обычно там же есть обсуждение самого проекта, его ICO и, собственно, баунти. Заходите на форум, регистрируйтесь, ищите выгодную вам программу в специальном разделе. Также на Medium есть специализированные блоги о баунти-программах, где вы тоже можете найти нужный вам проект и прочитать про него отзывы.

Во время загрузки произошла ошибка.

Больше полезной информации о криптовалютах — в специальном разделе.

Открываем с экспертами Cryptoratings.ru консультации о криптовалютах. Стоит ли покупать крипту сейчас? Почему скачут курсы? Биткоин или эфир? Пишите вопросы на cryptoquestion@mail. ru. Самые интересные и важные опубликуем и разберём.

Хотите первым узнавать новости о криптовалютах? — Жмите на кнопку подписки!

Bug bounty программа от Jivo в России

Bug bounty программа от Jivo в России

Расскажите о наших уязвимостях в обмен на благодарность и вознаграждение

Мы периодически ошибаемся. И призываем вас сообщить о наших ошибках. Пришлите письмо на [email protected] и укажите:

• описание уязвимости
• шаги для эксплуатации уязвимости
• имя и ссылку на профиль для публичной благодарности (если хотите)

Вознаграждение до $300

Мы протестируем ошибку и ответим вам в течение 14 рабочих дней.
В зависимости от критичности уязвимости вы получите вознаграждение в размере от 30 до 300 долларов.

Что и где искать?

Наши основные приложения:

Это не полный список, мы рассмотрим любые обращения, касающиеся наших приложений и доменов *. jivosite.com *.jivochat.com *.jivochat.com.br и прочих.

Критичные уязвимости

• Получение доступа к переписке, списку клиентов других аккаунтов, записям вызовов, переданным файлам
• Изменение настроек других аккаунтов или удаление данных в других аккаунтах
• Получение какого-либо доступа к файлам на устройстве оператора через приложения Jivo
• Получение конфиденциальной информации об операторах аккаунта (email, телефон, ip-адрес) без учетной записи в этом аккаунте (деанонимизация оператора)
• Получение доступа к внутренним системам Jivo (они находятся на доменах *.jivosite.com)
• Получение доступа к серверам, базам данных Jivo или к резервным копиям базы данных

Средняя критичность

• Повышение привилегий в рамках одного аккаунта (оператор-администратор)
• Уязвимости, для эксплуатации которых потребуется убедить пользователя совершать определенные действия в приложении или на посторонних сайтах

Уязвимости,
которые нас не интересуют

• Отсутствие защиты или несоответствия рекомендациям (security best practices) без конкретного сценария эксплуатации
• Сообщения от сканеров безопасности
• Сообщения об уязвимостях, основанные на версиях продукта / протокола без демонстрации уязвимости
• Переполнение Inbox операторов спам сообщениями или звонками
• Получение доступа к данным аккаунта при условии физического доступа к разблокированному устройству оператора
• Получение заведомо открытых данных оператора (аватар и имя на сайте)
• Получение доступа к премиум-функциям без лицензии
• Перебор адресов электронной почты пользователей. Получение списка адресов почты без перебора входит в программу Bug Bounty.
• Обход оператором без прав администратора разграничения доступа к назначению клиентов, чатам с клиентами, статистике и т.п. внутри своего аккаунта. Обход доступа к командным чатам внутри аккаунта входит в BugBounty.

Условия программы

• Рассматриваются только уязвимости в приложениях Jivo, окне чата, партнерском кабинете. Мы не будем рассматривать уязвимости и баги на сайтах, которые установили себе наш чат. Более того, мы не рекомендуем искать уязвимости на этих сайтах, кроме случаев когда они сами приглашают это сделать.
• Уязвимости в плагинах CMS и других сторонних систем будут рассматриваться, только если они принадлежат Jivo.
• Мы не рассматриваем уязвимости DoS (отказ в обслуживании) и просим вас не использовать инструменты нагрузочного тестирования на наших серверах.
• Вознаграждение за уязвимость может быть выплачено только первому, сообщившему о ней. О том, что нужно включить в отчёт, написано выше.

• Вознаграждение пропорционально критичности уязвимости (более подробно о том, что считаем критичным – см. выше).
• При исследовании мы просим вас использовать собственные тестовые аккаунты и не предпринимать действий, которые могут навредить другим пользователям или нарушить их конфиденциальность.
• На анализ сообщения нам потребуется до 14 рабочих дней.
• Мы можем выплатить вознаграждение только на PayPal. Кроме того, мы можем публично поблагодарить вас на странице на нашем сайте и/или предоставить щедрую лицензию на использование Jivo.
• Мы оставляем за собой право отказать в выплате вознаграждения по нашему усмотрению, а также модифицировать условия программы или отменить ее без предупреждения.

Продолжая пользоваться сайтом, я даю согласие на использование файлов cookie.

Отклонить Принять

Что такое Bounty-программа и как на этом заработать | Обучение

Одна из ключевых целей любой маркетинговой стратегии — обеспечить максимальное продвижение продукта/услуги. Именно таким образом многие люди узнают о компании, знакомятся с ее товарами. Это помогает активизировать устную рекламу и увеличить продажи. С самого начала эпохи цифровых технологий большое внимание уделяется рекламе в социальных сетях. Бонусные программы обычно являются неотъемлемой частью любой цифровой маркетинговой и рекламной стратегии.

Что такое Bounty-программа

В цифровом мире бонусные программы (Bounty-программа) берут начало от игровых онлайн-платформ, которые предлагали пользователям вознаграждение за участие в разработке. По сути бонусы выступают стимулирующим механизмом. Компания, продвигающая продукт или услугу, выплачивает потребителям вознаграждение за выполнение определенных задач. В некотором смысле это похоже на бартерный обмен: компания выплачивает вознаграждение, а его получатель в ответ выполняет простые задания. Для многих представителей бизнеса это ключевой инструмент рекламы и продвижения.

В криптовалютном пространстве бонусы — важная составляющая любой ICO-кампании. Многие стартапы встраивают бонусную программу в стратегию продвижения. Вознаграждение выплачивается за выполнение различных маркетинговых действий, тестирование ПО, поиск ошибок или даже за советы по улучшению структуры проекта. Бонусы обычно имеют форму токенов или (гораздо реже обычных денег).

Криптовалютное пространство оказалось плодородной средой для различных бонусных программ. Связано это с обилием возможностей как для самих стартапов, так и для обычных людей.

Структура Bounty-программ

В случае криптовалютных ICO-кампаний бонусные программы традиционно проводятся до либо после размещения. Во время ICO Bounty-программы не проводятся.

Bounty-программы до ICO

Обычно их устраивают, чтобы увеличить осведомленность публики и представить проект в социальных сетях. Их цель — привлечь внимание к стартапу и заставить людей говорить о нем. Для проникновения на рынок часто используются неформальные рекламные каналы. Участники выполняют различные задания, знакомя свое окружение с будущей криптовалютой. В список мероприятий в рамках бонусных программ в преддверии ICO обычно входят:

1. Акции в соцсетях

Включают в себя действия по продвижению ICO в социальных сетях. Вознаграждение каждого пользователя зависит от популярности его публикаций. Она оценивается по числу ретвитов, лайков, просмотров и комментариев. Обычно подобные кампании проводятся в Facebook, Twitter и YouTube и других социальных платформах.

2. Написание статей

Эта программа предназначена для авторов блогов с большим количеством читателей. Блогеры получают бонусы за публикацию статей об ICO. Как и в случае социальных сетей, размер вознаграждения зависит от популярности материалов и числа комментариев.

3. Бонусы за ссылки в подписях на Bitcointalk

Популярная программа у многих стартапов, открытая для участников форума Bitcointalk. Команда проекта выпускает подпись со встроенной в нее ссылкой. Вознаграждение зависит от числа переходов по ссылке. В большинстве случаев в бонусных программах могут участвовать пользователи форума со статусом Member и выше.

Bounty-программы после ICO

На этом этапе главная задача разработчиков состоит в развитии и улучшении проекта с учетом предложений сообщества. Бонусные программы после ICO направлены на взаимодействие с энтузиастами проекта. Самые распространенные типы:

1. Перевод на другие языки

Эта программа включает перевод всех документов, связанных с проектом, на иностранные языки и модерирование групп в форумах. Она идеально подходит для носителей иностранных языков. Обычно в их задачу входит перевод сайта проекта, White Paper и специализированной ветки на форуме Bitcointalk.

2. Отчеты об ошибках

Эта кампания не только привлекает новых участников, но также помогает разработчикам. Правильно составленный отчет об ошибке четко и кратко определяет проблему с программным обеспечением или платформой.

Важно отметить, что не существует жесткого правила, регламентирующего проведение бонусных кампаний. Стартапы могут реализовать любые из перечисленных выше мероприятий как до ICO, так и после.

Как правило, часть токенов выделяется на бонусные программы. Подробности о величине бонусного фонда можно найти на сайте проекта, в White Paper или в соответствующей ветке на форуме Bitcointalk.

Как стать участником Bounty-программы

Bounty-программы на крипторынке — отличный способ поучаствовать в развитии отрасли и заработать токены. При желании их можно обменять на обычные деньги. Большинство из заданий доступны для всех и не требуют особых технических знаний. Один из самых простых способов оставаться в курсе событий — зарегистрироваться на форумах Bitcointalk и Cryptocointalk. На них перечислены практически все доступные бонусные программы.

Выбирая Bounty-программу, нужно оценивать несколько факторов:

1. Надежность стартапа. Как известно, в мире криптовалют много мошенников, поэтому внимательно изучите всю доступную информацию о проекте.
2. Насколько конкретно и корректно прописаны задания. Убедитесь, что понимаете, что именно от вас требуется, чтобы не столкнуться с сюрпризами.
3. Готовы ли выполнять задания. Если вы беретесь за задачу, то будьте уверены, что сделаете ее хорошо.
4. Сколько участников Bounty-программы зарегистрировано. Чаще всего чем больше участников, тем меньше доля каждого.

Подписывайтесь на наш Telegram-канал Insider.Pro News и оставайтесь в курсе актуальных новостей мира криптовалют.

Подготовила Тая Арянова

краткий обзор популярных маркетплейсов и программ / Хабр

Никого не удивишь тем фактом, что дыры в программном обеспечении могут обернуться серьезными убытками для использующих его компаний. Случиться может многое — от утечки информации до приостановки работы организации.

Конечно, внутри компаний есть (или должны быть) специально обученные люди, занимающиеся поиском уязвимостей. Но объем таких работ огромен, и увеличивается он ежедневно. Что можно предпринять? Найти нужные «рабочие руки» — всех желающих, кто хочет и может этим заняться, причем за вознаграждение. Так возникла идея Bug Bounty — открытой краудсорсинговой альтернативы внутренней ИБ-службе, реализованной как своего рода мегаконкурс по поиску уязвимостей в программах компаний (разумеется, все это не за бесплатно, хотя есть исключения).

Увы, джентльменам не верят на слово в современном мире, а потому, если вы решили попробовать заработать на bug hunting, придется соблюдать правила игры. В статье я попытаюсь очертить круг возможностей «охотников за ошибками» и расскажу о вариантах участия в программах вознаграждения за найденные ошибки: сторонних платформах Bug Bounty (marketplaces) и программах, спонсируемых компаниями.

Платформы Bug Bounty

Платформы Bug Bounty содержат много технической информации. На них можно найти практически любой вариант поддержки и обучения «молодых охотников» — от форумов и учебных блогов до «информационных табло», на которых отражаются, например, время отклика компании на ваши исследования и средняя сумма вознаграждения за найденные ошибки. Систематизируются там и ваши собственные успехи: количество найденных ошибок, уровень их серьезности и так далее. Помимо этого, на подобных платформах представлены стандартизованные варианты оформления процесса поиска ошибок (то есть те, которые принимает большинство компаний), правила раскрытия информации о найденных уязвимостях и прочая документация для понимания правил «охоты за ошибками» — как общих, так и относящихся к конкретным компаниям. Такие стандарты позволяют, в том числе, автоматизировать рабочий процесс, например, разработать видоизменяемый шаблон отчета (Write-up), который можно повторно использовать в заданиях.

В статье я рассмотрю наиболее известные зарубежные площадки Bug Bounty: Bugcrowd, HackerOne, Vulnerability Lab, BountyFactory и Synack. Стоит отметить, что аналогичные хабы есть и на территории СНГ: bugbounty.ru (Россия), bugbounty.kz (Казахстан), bugbounty.by (Беларусь), — они останутся за бортом этой статьи.

HackerOne и Bugcrowd

HackerOne и Bugcrowd имеют схожий охват различных компаний с разными продуктами, бизнес-моделями и требованиями безопасности. Основное направление площадок — поиск уязвимостей в веб-приложениях, но есть также предложения о поиске уязвимостей в мобильных приложениях и нестандартные альтернативные варианты. У HackerOne есть несколько известных компаний, которые являются эксклюзивными для этой платформы (в том числе и Twitter), но в целом предложения очень похожи.

Процедура регистрации стандартная, и для нее на площадках не требуется какого-либо минимального уровня навыков или опыта. Зарегистрировавшись, можно сохранять гордое инкогнито либо хвастаться успехами, сделав профиль видимым для всех. Во втором случае будут видны набранные баллы (рейтинг) и общая статистика участия в исследованиях: количество найденных ошибок, точность их обнаружения и уровень уязвимостей, за которые было начислено вознаграждение (по шкале от низкого до умеренно высокого).

Bugcrowd поддерживает систему классификации уязвимостей, называемую таксономией рейтинга уязвимостей (Vulnerability Rating Taxonomy, VRT). Как утверждают представители площадки, эта система помогает определиться, на какие типы уязвимостей лучше обратить внимание с учетом опыта исследователя и его веры в свои силы, измеряемой в величине вознаграждения за найденную уязвимость. Естественно, что чем больше вы верите в свои силы, тем на более дорогостоящие уязвимости вы решите замахнуться.

VRT — это весьма полезная услуга, предоставляемая площадкой. Можно, во-первых, потренироваться или повысить свои навыки на обнаружении несложных уязвимостей, а во-вторых, определить оптимальный режим приложения сил для получения вознаграждения и оценить реальный уровень этого вознаграждения с учетом существующих навыков и опыта.

В то время, как вы изучаете площадки, площадки изучают вас. Как в Bugcrowd, так и у HackerOne есть политика вознаграждения за нахождение багов. Исследуются, например, показатели количества и «качества» активности пользователя, полученные за последние 90 дней. По результатам таких исследований вас могут пригласить в «частные программы» вознаграждений. Они отличаются более узким кругом претендентов на награду, что повышает шансы найти «денежный» баг, но в то же время претенденты в них более опытны, и лишь ваше дело решить, что лучше — ввязаться в драку или посмотреть на нее со стороны.

Помимо этого, HackerOne предлагает вознаграждение за аудит безопасности собственных ресурсов и сайтов площадки. В этом случае выплату можно получить, даже если обнаружить уязвимости не удастся, главное — продемонстрировать серьезный исследовательский подход с полным описанием опробованных вариантов. Отсутствие результата — тоже результат, к тому же зачем упускать возможность лишний раз проверить безопасность, не так ли?

Vulnerability Lab

Представьте, что вы нашли критическую уязвимость в безопасности очень крупной компании, разглашение информации о которой может обойтись вам очень дорого. В этом случае на помощь может прийти Vulnerability Lab. Эта платформа может быть использована как точка контакта и сторонний посредник между исследователем и рассматриваемой им компанией. При этом одна из функций сайта Vulnerability Lab включает получение отчетов о критических уязвимостях, которые исследователь может не захотеть предоставлять напрямую. Vulnerability Lab использует команду внутренних экспертов для проверки уязвимостей высокого уровня, но также принимает сообщения и о менее критических уязвимостях. Публикация отчетов об ошибках по истечении определенного промежутка времени (как в HackerOne) делает эту площадку полезным справочным пособием для новичков, стремящихся лучше понять как форму отчетов об ошибках, так и методы обнаружения этих ошибок.

BountyFactory

BountyFactory позиционирует себя как первая европейская Bug Bounty платформа, основанная на европейских правилах и законодательстве. BountyFactory управляется группой YesWeh5ck — рекрутинговой компанией Infosec, основанной в 2013 году. Помимо платформы Bug Bounty, под управлением YesWeh5ck находятся доска объявлений о работе YesWeh5ck Jobs, скоординированная платформа раскрытия уязвимостей ZeroDisclo и совокупность всех общедоступных программ по защите от уязвимостей FireBounty. Как и Bugcrowd и HackerOne, BountyFactory имеет свою систему оценки, таблицу лидеров, а также публичные и частные программы, на которые распространяется ограниченное количество приглашений. Являясь европейским оператором, BountyFactory отлично подходит для компаний, которые не пользуются популярными американскими bug bounty-платформами.

Synack

Платформа Synack позиционирует себя как своего рода эксклюзивный клуб «охотников за ошибками». Желающим попасть в него необходимо пройти весьма жесткий отбор. Synack потребует вашу личную информацию, проведет видеоинтервью, инициирует проверку биографических данных и идентификацию, а также оценит ваши навыки, чтобы убедиться, что вы не только обладаете опытом подобных работ и способны на многое, но и достаточно ответственны для аудита программ, предполагающих работу с конфиденциальными данными (одна из специализаций Synack). В Red Team этой платформы принимаются менее 10% претендентов. В отличие от других платформ Bug Bounty, Synack не публикует список лидеров или каких-либо других исследователей публично (хотя у нее есть внутренние рейтинги, которые используются как основа для вознаграждений и приглашений для выбора компаний). Synack хранит личность своих исследователей в секрете, и это дает «охотникам за ошибками» некоторую защиту от судебных исков со стороны компаний, пытающихся препятствовать агрессивному аудиту, или от тех, кто считает, что исследователь нарушил Правила взаимодействия (Rules of engagement, ROE).

Программы, спонсируемые компаниями

Деньги против барахла

На требования и условия получения вознаграждения за поиск уязвимостей в рамках программ, спонсируемых компаниями, влияет множество факторов. В основном в качестве вознаграждения компании предлагают деньги, при этом широко распространены и так называемые swag-only программы, когда исследователи получают подарки: различный мерч, бутылки с водой и так далее. Тем не менее, именно swag-only программы являются базой, основой для новичков. Они дают отличную практику по поиску уязвимостей на действующих сайтах компаний, при этом многие из них поддерживаются на сторонних маркетплейсах. Таким нехитрым образом компании одновременно обеспечивают себе более широкий круг исследователей уязвимостей и избегают излишних трат денег. Помимо этого, особо отличившихся «охотников за уязвимостями» компании могут пригласить в собственные программы bug bounty hunting.

Крупные компании платят высокие гонорары за найденные уязвимости, но шанс найти такую уязвимость не слишком велик: основной спектр уязвимостей уже найден до вас. У стартапов будут более «уязвимые» приложения, но область атаки намного уже, чем у крупных компаний, то есть уязвимости могут быть малоизвестными, и помимо определенной удачи, нужны опыт и навыки. Взлом Google, Facebook или Amazon гарантирует вам большие выплаты в случае успеха, но у них уже есть крупные команды безопасности и так много сообщений об ошибках от независимых исследователей, что начинающему «охотнику за ошибками» будет сложно найти что-либо с первой попытки.

Как говорилось в одном известном советском фильме, «в джинсы сейчас облачились даже самые отсталые слои населения». Собственные программы bug bounty hunting сегодня имеют не только крупные компании, но и средний (и даже малый) бизнес. На удивление большое количество компаний предлагает вознаграждение за вклад в обеспечение безопасности. Поскольку уместить всю информацию об этом в одной статье попросту немыслимо, часть информации о программах, спонсируемых компаниями, останется «за бортом» моего поста.

Google

У Google обширная программа Bug Bounty, с подробными структурами выплат и специальными инструкциями для классификации различных типов ошибок. Большую часть информации об этом можно найти в разделе «Награды» на странице «Безопасность приложений», но Google также разрабатывает набор учебных пособий по тестированию (небольшой). Особое внимание в нем уделяется формализации результатов: как правильно оформить конкретно для Google то, что вы искали и как вы это делали. В качестве примера можно привести университет Bughunter, Google Gruyere и другие учебные приложения. В них содержатся не только предпочтения и требования Google, но и лучшие практики и знания, которые можно применить к программам и заданиям других компаний.

Facebook

У Facebook есть программа вознаграждения за выявление ошибок с минимальной выплатой в размере 500 долларов. В политике ответственного раскрытия информации компании говорится, что Facebook «не будет мириться со злоупотреблениями с данными». Это значит, что против вас не будут инициировать судебный процесс или расследование с привлечением правоохранительных органов в ответ на сообщение о найденной проблеме безопасности, но при одном условии — соблюдении вышеупомянутых правил Facebook (политики ответственного раскрытия). Количество информации, доступной для программы Facebook, минимально. Помимо этого, Facebook очень резко реагирует на попытки несанкционированного поиска уязвимостей на своей платформе, что неудивительно, особенно с учетом недавнего усиленного контроля за деятельностью компании как за рубежом, так и в России.

Amazon

У Amazon есть программы bug bounty hunting как для подразделений электронной коммерции, так и для облачных сервисов. Их ключевая особенность — применение «разрешительной» модели участия вместо «открытой». Другими словами, пока вы соблюдаете правила взаимодействия, можете ожидать иммунитета. Amazon потребует от вас регистрации и запроса на разрешение участия в пентестинге. Таким образом компания отсекает излишнее количество тестировщиков, а также старается различить активность «белых» и «черных» хакеров (White and Black-Hat).

У Amazon есть множество официальных документов, постов в блогах и документации о том, как в компании работает безопасность, но материалов, обучающих «охотников за уязвимостями», намного меньше, чем у Facebook или Google.

GitHub

GitHub предлагает программу вознаграждений, которая охватывает широкий спектр его свойств, включая API, корпоративные приложения и основной сайт. Выплаты в большинстве случаев варьируются от 555 до 20 000 долларов США.

Одна из замечательных особенностей программы GitHub заключается в том, что каждый участник, успешно нашедший ошибки, получает страницу профиля, на которой отображаются не только набранные им баллы, место в рейтинге исследователей и заработанные значки, но и обнаруженные уязвимости с кратким техническим описанием. Такие страницы профиля могут стать впоследствии отличным пунктом в резюме для карьеры в области ИБ.

Microsoft

У Microsoft есть программа вознаграждений, охватывающая как ее потребительские продукты для ПК, так и продукты для веб-приложений, например, Azure. На сайте программы Microsoft Bounty подробно рассказывается о форматировании отчетов и их представлении, показаны примеры хороших и плохих образцов, приведены подробные, конкретные рекомендации по тестированию для каждого свойства Microsoft, но нет большого запаса учебного материала с точки зрения общего пентестинга. У Microsoft, как и у многих других компаний, есть своя публичная таблица лидеров и система рейтинга.

Internet Bug Bounty Program (IBBP)

IBBP представляет собой нечто среднее между сторонними маркетплейсами и спонсируемыми компанией программами. IBBP — некоммерческая организация, которую финансируют крупные технологические партнеры, включая Microsoft, Adobe, Facebook и GitHub, для защиты целостности основных интернет-сервисов. Технологии, охватываемые программой Bug Bounty IBBP, разнообразны: языки (Perl, Ruby, PHP), фреймворки (Django, Ruby on Rails), серверы (NGINX, Apache HTTP) и криптографические инструменты (Open SSL).

Именно IBBP выплачивала вознаграждения за некоторые из самых известных и высокооцененных найденных уязвимостей за последнее десятилетие: Heartbleed — 15 тыс. долларов, ShellShock — 20 тыс. долларов и ImageTragick — 7,5 тыс. долларов. Таким образом, IBBP является отличным ресурсом для развития навыков пентестинга, особенно веб-приложений.

Как найти программы Bug Bounty сторонних компаний

У многих компаний есть программы вознаграждения за ошибки. Выяснить, поддерживается ли для сайта или приложения программа Bug Bounty, легко за пару запросов. Например, можно использовать запросы с синтаксисом поиска Google, например, inurl: / security /, intext: bug bounty и intext: reward или их объединение. Можно также настроить оповещение Google, используя эти и другие поисковые термины, чтобы получить простой, автоматизированный способ поиска новых программ для участия в пентестинге.

Bugcrowd курирует список, заполняемый компаниями-участниками платформы. Из него можно узнать, какие программы Bug Bounty доступны в компаниях, в какой форме по ним предоставляется вознаграждение, и есть ли у этих организаций «Зал славы» для успешных исследователей.

Firebounty, упомянутый ранее как продукт YesWeh5ck, представляет собой гибрид, который показывает программы Bug Bounty с других платформ, а также свои собственные уникальные предложения.

Автор: Дмитрий Мельник, ведущий инженер по информационной безопасности R-Vision

Как запустить программу Bug Bounty — опыт Grammarly

23 апреля, 2020, 14:15

3391

Основанная в Украине IТ-компания Grammarly создает онлайн-сервис на основе искусственного интеллекта для помощи в написании текстов на английском языке. Ежедневно им пользуются свыше 20 млн человек во всем мире.

Grammarly доступен в нескольких интерфейсах — как вебредактор, браузерные расширения, десктопные приложения, мобильные клавиатуры и надстройки для Microsoft Office. А эта сфера очень требовательна к приватности данных. Поэтому безопасность в компании рассматривается как основополагающая часть работы над продуктом.

Чтобы привлечь дополнительную экспертизу и усилить инициативы, направленные на повышение безопасности, Grammarly запустила программу Bug Bounty на площадке HackerOne — сначала в приватном, а спустя некоторое время — и в публичном режиме. 

В колонке для AIN.UA менеджер Security-команды Grammarly Андрей Деревянко рассказал, почему программа по обнаружению уязвимостей нужна каждой продуктовой компании, как в Grammarly проходила подготовка к запуску приватной и публичной программ Bug Bounty и какие результаты они принесли. 

---

Что такое Bug Bounty

Bug Bounty — это общее название для программ, в рамках которых компании обращаются за помощью к «белым хакерам» для обнаружения уязвимостей программного обеспечения. Исследователи изучают продукт, составляют отчеты по найденным багам и получают вознаграждение в соответствии с критичностью уязвимости. Хакеры не имеют права публично раскрывать уязвимость до ее устранения. Компании, в свою очередь, должны быстро реагировать на отчеты исследователей и закрывать найденные баги. 

Bug Bounty может работать в приватном и публичном режиме. В первом случае, она открыта для избранного круга хакеров на выбранной площадке. А в случае публичной программы — любой исследователь может отправить свой отчет и претендовать на вознаграждение.

Как запустить приватную программу Bug Bounty

Для начала, компании необходимо выбрать удобную площадку для работы и определить, что именно она будет отдавать на тестирование. Затем — выбрать тарифный план, заключить договор и оплатить подписку. 

В качестве площадки мы выбрали HackerOne — крупнейшую платформу для сотрудничества с «белыми хакерами». На этой площадке зарегистрировано более 300 000 хакеров, что позволяет в любой момент масштабировать программу поиска уязвимостей. HackerOne используют крупнейшие IT-компании мира, как, к примеру, AirBnB, Uber и Dropbox. 

Кроме перечисленных выше шагов, потребуется дополнительная работа. Вот о чем нужно побеспокоиться:

1. Прописать правила.
   Одно из требований HackerOne — составление подробного свода правил для сотрудничества компании и хакеров. В нем нужно перечислить, что именно вы хотите тестировать, назвать требования к подаче отчетов и размеры вознаграждений. На этапе запуска менеджеры HackerOne консультируют, как лучше составить правила. Помимо этого, можно взять за основу программы других компаний.

   К примеру, чтобы популяризировать Bug Bounty движение и поднять индустриальные стандарты работы над безопасностью, компания Dropbox разрешает свободное использование и изменение своих правил другим компаниям. К подготовке правил нужно подойти очень тщательно (мы дополнительно консультировались с юристами) и не спешить – чем лучше вы их опишете, тем меньше времени после запуска программы потратите на нерелевантные или неточные отчеты.

   
   

2. Отобрать участников.
   По условиям приватной программы компания-заказчик выбирает, какие специализации и уровень хакеров ее интересуют, а HackerOne осуществляет подбор и высылает личные приглашения. Первыми их получают исследователи с высокой репутацией. Отчеты от них будут наиболее точными.
   Работая с приватной программой, вы можете легко контролировать количество участников и, соответственно, отчетов которые вам приходят. Поначалу многие из них будут дублировать уже известные вам уязвимости. По рекомендациям платформы HackerOne, вы не должны выплачивать за них вознаграждение, но мы иногда поощряли очень старательных хакеров за особо качественные отчеты.
   

3. Подготовиться к первоначальному наплыву отчетов.
   Первый месяц после запуска приватной программы — самый сложный. Отчеты начинают приходить уже спустя полчаса после открытия программы. Чтобы не утонуть в этом потоке, мы последовали рекомендации HackerOne и организовали ротацию инженеров для первичной обработки.

   Это позволило оперативно просматривать все отчеты, распределять их по командам разработчиков и, главное — оперативно отвечать хакерам. В целом, не менее 60% инженерной команды Grammarly приняло участие в сопровождении приватной программы и процессе подготовки к выходу на публичный уровень. 

Как работать с «белыми хакерами» — главные правила

Успешность вашей программы Bug Bounty во многом зависит от того, как организована работа с исследователями. Вот несколько правил, которых мы придерживаемся:

• Поддерживать коммуникацию. Нельзя пропускать сообщения от хакеров — важно всегда отвечать и детально расспрашивать о проделанной работе. Отчеты проходят предварительную проверку со стороны команды HackerOne, но лучше просматривать даже отклоненные варианты — иногда и там есть интересные кейсы.
• Оперативно реагировать. Скорость ответа тоже очень важный показатель, на который обращают внимание хакеры. Нужно помнить, что не всем исследователям важны лишь деньги. Многие работают на свою репутацию или даже из интереса к продукту. И скорость вашей реакции и качество коммуникации также могут быть для них мотивирующими факторами.
• Стимулировать участие в программе, выходя за рамки стандартных вознаграждений. Авторов качественных отчетов, пусть и не содержащих критических уязвимостей, лучше мотивировать бонусом ради дальнейшего участия. Важно помнить, что HackerOne и подобные ему площадки — это конкурентная среда, и если хакер не получает внимания и поддержки, он уйдет заниматься другими проектами.
• Поощрять сложную аналитическую работу. Очень ценно, когда хакеры не просто сообщают про отдельные баги, а выстраивают сложные сценарии атак, состоящие из нескольких, на первый взгляд, малозначимых уязвимостей. Такую работу также можно поощрять дополнительными бонусами — как и таргетированный анализ (в нашем случае — целенаправленное исследование браузерных приложений).

Как самый эффективный хакер программы Bug Bounty стал инженером Grammarly

То, как важно правильно коммуницировать с «белыми хакерами», доказала история сотрудничества Grammarly и хакера под ником metnew.  

Мы обратили на него внимание благодаря качеству и уровню детализации отчетов — исследователь последовательно и подробно описывал уязвимости браузерных расширений. В общей сложности, мы обработали 15 его отчетов (из них два указывали на «критические» баги) — это индивидуальный рекорд нашей программы.

В ходе обсуждения его отчетов, выяснилось, что metnew (Владимир Метнев) по невероятному совпадению живет в Киеве. Мы пригласили его в офис, познакомили с командой и предложили несколько месяцев поработать консультантом в компании.

Через время Владимир присоединился к команде Grammarly как Application Security инженер. Сейчас он отвечает за поддержку публичной программы Bug Bounty, непосредственно работает с исследователями, а также драйвит внутреннюю инициативу security-чемпионов (в каждой инженерной команде выбирается один человек на роль «security-чемпиона», который активнее всего взаимодействует с командой безопасности, и затем делится информацией со своими коллегами).  

Как выйти на публичную программу Bug Bounty

Когда приватная программа Grammarly заработала в полную силу, в ней было около 700 участников. Несмотря на ротацию, постепенно сообщество стало менее активным, вследствии чего количество и качество отчетов сильно упало. В периоды затишья могло приходить по 2-3 отчета в неделю, в обычное время — около 10 отчетов.

Но нужно помнить, что чаще всего лишь 1 из 5 входящих отчетов после проверки переводится в работу. И это с учетом того, что мы закрываем даже потенциальные уязвимости, а не реальные кейсы атак. Другие отчеты отсеиваются как дубликаты или оказываются ложноположительными.

Чтобы повысить активность в приватной программе, мы увеличили количество участников до 2000. Это не требует дополнительных инвестиций, поскольку владелец программы может масштабировать ее на свое усмотрение. После этого количество отчетов, в первое время, возросло примерно до 40 в неделю. Из них 4-5 уходили в работу. Но постепенно и этот поток обращений иссяк.

 

Конечно, мы могли и дальше приглашать новых хакеров в приватном режиме — многие компании идут именно таким путем. Но мы приняли решение о переходе на публичную программу. Для нас он стал важным шагом не только для того, чтобы масштабироваться, но и сделать безопасность нашего продукта более прозрачной для пользователей и укрепить их доверие. 

Что важно учесть при подготовке к переходу на публичную программу:

1. Назначить DRI — ответственного за проект. К выходу на публичную программу стоит подойти с позиции проектного менеджмента. Такой шаг — это отдельный проект внутри компании со своими сроками и стоимостью, сопровождать который должен ответственный менеджер. Нельзя пускать процесс на самотек: менеджер и команда должны работать в эффективной связке.
2. Закрыть типичные уязвимости. Для Grammarly достаточно значимым фактором готовности к публичной программе  выступило усиление защиты от CSRF-уязвимостей или, другими словами, — подделки межсайтовых запросов. Это распространенный тип атак на веб-приложения, который заключается в перехвате управления пользовательской сессией.
   Без закрытия таких уязвимостей выходить на публичную программу было бы попросту бессмысленно. Хакеры бы завалили нас однотипными отчетами, а в ответ на отклонение отчета как дубликата — разочаровались в программе. 
3. Доработать условия. Чаще всего хакеры ориентируются на веб- и мобильные приложения. Другие же технологии требуют специфической экспертизы, и потому для них сложнее найти исследователей. Мы, например, получали мало отчетов по браузерным расширениям — это нишевая технология. Поэтому спустя некоторое время мы определили focus scope — список продуктов, по которым выплачивается удвоенное вознаграждение.
4. Проработать механизм автоматических обновлений. Для клиентских приложений (например, мобильных) уязвимость можно исправить только выпустив обновление. Продуктовым компаниям, выходящим на публичную программу Bug Bounty, нужно обязательно проработать механизм автоматических обновлений. Это важно, поскольку исправление уязвимости может ограничить функциональность прошлых версий продукта. Кроме того, не все пользователи охотно обновляются — некоторых нужно мотивировать почтовыми рассылками или уведомлениями внутри приложения.

Публичная программа Bug Bounty запущена — что дальше

Наш переход на публичную программу состоялся в декабре 2018 года. Это увеличило потенциальное количество участников в 150 раз — с 2000 до 300 000 хакеров, зарегистрированных на площадке. После запуска публичной программы мы подготовились к большому потоку из новых отчетов: выделили ресурсы инженерной команды и время на обработку запросов. Но такого наплыва не случилось из-за длительной и качественной работы на приватном уровне.

После успешного запуска программы важно не сбавлять обороты и поддерживать уровень эффективности:

• Активно общаться с исследователями и постоянно дорабатывать правила. Важно регулярно обновлять и при необходимости расширять описание программы, чтобы она оставалась актуальной, и участники знали, какие отчеты для нас более релевантны в данный момент.

• Мотивировать исследование новых продуктовых фич за счет временного увеличения выплат. При выпуске новых функций или интерфейсов продукта можно и нужно дополнительно стимулировать их более активное тестирование — в первую очередь за счет приоритизации таких исследований и временного увеличения вознаграждений.

  Один из наших последних подобных кейсов — кампания по исследованию функции мультифакторной аутентификации (MFA). Чтобы повысить ее приоритет для хакеров, мы на один месяц удвоили вознаграждение за отчеты по ней. Для того, чтобы присоединиться к кампании, хакеры заполняли форму, а мы добавляли MFA-функцию как эксперимент в их тестовые аккаунты. В итоге, мы получили более 100 отчетов, из которых 11 были валидными.

  Суммарно, за найденные уязвимости мы выплатили исследователям около $14 000, а особо активным — дополнительно отправили наборы с брендированной сувенирной продукцией от Grammarly. Авторам отчетов, которые оказались дубликатами, мы также в качестве поощрения предоставили Premium-подписку на сервис Grammarly. Так эта кампания помогла нам закрыть возможные уязвимости еще до публичного релиза функции.  

И немного статистики за почти 1,5 года существования публичной баунти-программы Grammarly на HackerOne:

Для продуктовой компании — это несоизмеримое соотношение выгоды и полученного результата. За сравнительно небольшие деньги мы привлекли квалифицированных внешних экспертов и получили более 130 ценных отчетов от исследователей, которые помогли сделать продукт еще более безопасным для пользователей. 

Уверены, что усилия, потраченные на запуск и ведение Bug Bounty, — это отличная инвестиция с высоким уровнем возврата.

Автор: Андрей Деревянко, менеджер Security-команды в Grammarly

Самые высокооплачиваемые Bug Bounty программы

Bug Bounty — это программа, предлагаемая многими веб-сайтами и разработчиками программного обеспечения, с помощью которой люди могут получить признание и вознаграждение за нахождение ошибок. Эти программы позволяют разработчикам обнаружить и устранить ошибки, прежде чем широкая общественность узнает о них, предотвращая случаи массовых злоупотреблений. С определением разобрались, теперь давайте взглянем на топ-10 программ Bug Bounty.

1. Apple

На момент запуска программы Bug Bounty от Apple, доступ к ней имел ограниченный круг лиц, но в 2016 году она стала доступна всем желающим. У вознаграждений нет фиксированного потолка, и, кроме того, компания готова заплатить 100,000 $ тому, кто сможет получить доступ к данным, защищённым технологией Apple Secure Enclave. Самая высокая награда составила 200,000 $ за нахождение дыр в безопасности этой технологии.

2. Microsoft

Официально запущенная 23 сентября 2014 года программа Microsoft касается только онлайн-сервисов. К сожалению, награда полагается только за важные и критические уязвимости. Минимальное вознаграждение за критические уязвимости составляет 15,000 $, а максимальное — 250,000 $.

3. Facebook Whitehat

В рамках Bug Bounty программы от Facebook, пользователи могут сообщать о проблемах с безопасностью в Facebook, Instagram, Atlas, WhatsApp и других сервисах компании. Тем не менее, если отчёт о проблеме не соответствует правилам, то Facebook может инициировать судебный иск. Потолка у вознаграждений нет, а минимальная выплата составляет 500 $.

4. Google Vulnerability Reward Program

Под программу Bug Bounty от Google попадают все веб-сервисы компании, которые имеют дело с конфиденциальными данными пользователей: Google, YouTube, Blogger. За них платят от 100 $ до 31,337 $. Также можно искать уязвимости и в других продуктах Google, таких как Chrome и Android, за которые готовы заплатить вплоть до 200,000 $.

5. Intel

Bug Bounty программа от Intel в основном ориентирована на аппаратное обеспечение, прошивку и программное обеспечение компании. К сожалению, в неё не входят недавние приобретения компании, веб-инфраструкутра, сторонние продукты или что-либо, связанное с McAfee. Максимальное вознаграждение за критические уязвимости составляет 250,000 $, минимальное — 500 $.

6. Twitter

Twitter даёт возможность исследователям безопасности сообщать о возможных уязвимостях и поощряет их согласно своей программе Bug Bounty. Минимальное вознаграждение составляет 140 $, а максимальное — 15,000 $.

7. Avast

Avast платит за обнаружение уязвимостей вроде удалённого выполнения кода, повышения привилегий, DoS и обхода сканера. Выплаты составляют от 400 $ до 10,000 $, хотя могут заплатить и больше.

8. Yahoo

Yahoo платит до 15,000 $ за нахождение уязвимостей в своей системе, однако компания не предлагает вознаграждение за поиск уязвимостей в yahoo.net, Yahoo7, Yahoo Japan, Onwander и блоги Yahoo на WordPress. Также Yahoo не устанавливает конкретной минимальной выплаты.

9. Mozilla

Mozilla платит за найденные уязвимости в своих продуктах вроде Firefox, Thunderbird и других. Минимальное вознаграждение составляет 500 $, а максимальное может достигать 10,000 $ и больше.

10. GitHub

В 2013 году у GitHub появилась своя программа Bug Bounty. Кроме выплат исследователи получают очки за найденные уязвимости и продвигаются выше по соревновательной таблице. Тем не менее, вознаграждение полагается только тем, кто не нарушил установленных правил. GitHub платит от 555 $ до 20,000 $.

Перевод статьи «Top 10 Bug Bounty Programs for Ethical Hackers»

1

$13,7M составили вознаграждения в рамках программ Microsoft Bug Bounty за прошедший год – Новости и истории Microsoft

Специалисты в области кибербезопасности – жизненно важный компонент глобальной экосистемы защиты всех аспектов цифровой жизни и бизнеса. Наше коллективное уважение и благодарность всем исследователям, которые тратят время на обнаружение уязвимостей и сообщают о них прежде, чем этой возможностью воспользуются злоумышленники.

Ландшафт индустрии безопасности постоянно меняется, появляются новые технологии и угрозы. Обнаруживая новые уязвимости и сообщая о них Microsoft через Coordinated Vulnerability Disclosure (CVD), исследователи в области безопасности продолжают помогать нам защищать миллионы клиентов. Microsoft продолжает постоянно улучшать программы Bug Bounty и усиливать партнерства с сообществами специалистов по безопасности. За двенадцать месяцев финансового года Microsoft выплатила премий на $13,7M, что почти втрое больше суммы вознаграждений в $4,4M, выплаченных за аналогичный период прошлого года.

Что изменилось в прошлом году

Мы постоянно оцениваем ландшафт угроз при запуске наших программ и прислушиваемся к мнению исследователей, чтобы облегчить обмен данными. В этом году мы запустили шесть новых bounty-программ и два новых исследовательских гранта, и получили свыше 1000 отчетов от более чем 300 специалистов с шести континентов.

Помимо новых программ свое влияние на деятельность исследователей в области безопасности, по-видимому, оказала и изоляция, связанная с COVID-19. Во всех 15 bounty-программах мы наблюдали повышение вовлеченности исследователей и увеличение объема отчетов в течение первых нескольких месяцев пандемии.

Новые и обновленные bounty-программы

Новые исследовательские программы:

Благодарим всех, кто поделился своими результатами с Microsoft в этом году. Ваши усилия сделали безопаснее жизнь миллионов пользователей и различных экосистем.

Авторы – Ярек Стенли, Линн Мияшита, Сильви Лю, Хлое Браун (Microsoft Security Response Center)

 

Tags: Bug Bounty, Security, безопасн

Программа вознаграждения за ошибки

Условия программы Intel® Bug Bounty

Безопасность — это сотрудничество

Корпорация Intel считает, что налаживание отношений с исследователями в области безопасности и стимулирование исследований в области безопасности является важной частью нашего Security First Pledge . Мы призываем исследователей в области безопасности сотрудничать с нами, чтобы уменьшить и координировать раскрытие потенциальных уязвимостей в системе безопасности.

Сообщение об ошибке

Перед отправкой отчета ознакомьтесь с настоящими Условиями программы Bug Bounty. Отправляя отчет, вы соглашаетесь с условиями программы Intel Bug Bounty.

Если вы будете соблюдать условия программы, мы не будем возбуждать против вас судебный процесс или расследование правоохранительных органов в ответ на ваше сообщение. Пожалуйста, поймите, что этот отказ не распространяется на ваше исследование безопасности, которое касается сетей, систем, информации, приложений, устройств, продуктов или услуг другой стороны (которая не является Intel).Мы не можем и не разрешаем проведение исследований в области безопасности от имени других лиц.

Важно : Чтобы сообщить о потенциальной проблеме безопасности или уязвимости в продукте или технологии под брендом Intel , отправьте отчет по электронной почте в Intel PSIRT ([email protected]). Пожалуйста, зашифруйте все сообщения электронной почты, содержащие информацию о потенциальных уязвимостях безопасности, с помощью открытого ключа Intel PSIRT PGP. Если у вас возникли проблемы с шифрованием отчета об уязвимостях или возникли вопросы по этому процессу, отправьте сообщение в Intel PSIRT (secure @ intel.com). Мы будем работать с вами, чтобы определить метод безопасной передачи вашего отчета об уязвимости.

Включите в отчет следующую информацию

• Название (я) продукта или технологии Intel и соответствующая информация о версии.
• Подробное описание потенциальной уязвимости системы безопасности.
• Proof-of-concept, в котором подробно описывается воспроизведение потенциальной уязвимости системы безопасности.

Чем больше подробностей будет представлено в первоначальном отчете, тем легче Intel будет оценить ваш отчет.

Примечание: Intel использует платформу HackerOne для администрирования платежей по программе Intel Bug Bounty

Критерии отбора исследователей и репортеров в области безопасности

Для участия в программе Bug Bounty должны быть выполнены все критерии.

• Вы подаете отчет в своем личном качестве или, если вы работаете в компании или другом юридическом лице и отчитываетесь от имени своего работодателя, у вас есть письменное согласие работодателя на отправку отчета в программу Intel Bug Bounty.
• Вам исполнилось 18 лет, и, если вы считаете себя несовершеннолетним по месту жительства, у вас есть разрешение родителей или законного опекуна до подачи заявления.
• Вы не являетесь резидентом страны, на которую введено эмбарго правительства США.
• Вы не находитесь в списке лиц, подпадающих под санкции правительства США.
• В настоящее время вы не являетесь и не являлись сотрудником корпорации Intel или дочерней компании Intel в течение 6 месяцев до отправки отчета.
• В настоящее время вы не заключили и не заключили контракт с корпорацией Intel или дочерней компанией Intel в течение 6 месяцев до отправки отчета.
• Вы не являетесь ни членом семьи, ни членом домашнего хозяйства какого-либо лица, которое в настоящее время или в течение последних 6 месяцев соответствует критериям, перечисленным в двух пунктах, указанных выше.
• Вы соглашаетесь участвовать в тестировании эффективности смягчения последствий и координировать раскрытие / публикацию / публикацию вашего вывода с Intel.
• Вы не имели и не будете получать доступ к какой-либо личной информации, которая не принадлежит вам, в том числе путем использования уязвимости.
• Вы не нарушали и не будете нарушать какие-либо применимые законы или постановления, включая законы, запрещающие несанкционированный доступ к информации. Чтобы уточнить, Intel не рассматривает тестирование, которое проводится в соответствии с условиями этой программы поощрения ошибок, как несанкционированное.
• Могут быть дополнительные ограничения на ваше право участвовать в программе вознаграждения за обнаружение ошибок в зависимости от вашего местного законодательства.

Если на каком-либо этапе исследования уязвимости вы не уверены, следует ли продолжать, немедленно отправьте сообщение в Intel PSIRT ([email protected]).

Конфиденциальная и личная информация

Никогда не пытайтесь получить доступ к чьим-либо данным или личной информации, в том числе используя уязвимости. Такая деятельность является несанкционированной. Если во время тестирования вы взаимодействовали или получили доступ к данным или личной информации других лиц, вы должны:

• Немедленно остановите тестирование и прекратите любую деятельность, которая связана с данными, личной информацией или уязвимостью.
• Не сохраняйте, не копируйте, не храните, не передавайте, не раскрывайте или иным образом не сохраняйте данные или личную информацию.
• Немедленно сообщите в Intel и поддержите наши усилия по расследованию и устранению последствий.

Несоблюдение любого из вышеперечисленных требований немедленно лишает любой отчет права на вознаграждение за вознаграждение.

Допустимые отчеты (в объеме)

Чтобы иметь право на рассмотрение вознаграждения за вознаграждение, ваш отчет должен соответствовать следующим требованиям:

1. Отчет и любые сопроводительные материалы, отправленные в Intel, были зашифрованы с помощью открытого PGP-ключа Intel PSIRT.
2. Продукты Intel в вашем отчете соответствуют пункту, явно указанному ниже как «Соответствующие продукты и технологии под маркой Intel».
3. Обнаруженная вами уязвимость должна быть оригинальной, о ней ранее не сообщалось в Intel и не разглашалась публично.
4. Отчет должен показать, что потенциальная уязвимость была продемонстрирована в отношении самой последней общедоступной версии уязвимого продукта или технологии.

Отчет должен содержать четкую документацию, в которой указывается следующее:

1. Обзор / сводка обнаруженной уязвимости и потенциального воздействия.
2. Подробное объяснение обнаруженной уязвимости, способы ее использования, влияние успешно использованной уязвимости и вероятность успешного использования.
3. Название и конкретная версия продуктов Intel, в которых сообщается о потенциальной уязвимости.
4. Proof of Concept (POC) — код или инструкции, которые четко демонстрируют использование указанной уязвимости. POC должен включать инструкции, которые, если им будет следовать группа инженеров Intel, смогут успешно продемонстрировать наличие и возможность использования уязвимости.
5. Информация о том, как был разработан и скомпилирован код Proof of Concept (POC). При необходимости включите описание среды разработки, включая имя компилятора, версию компилятора, параметры, используемые для компиляции, и версии операционной системы.

Соответствующие критериям Под брендом Intel продуктов и технологий, поддерживаемых и распространяемых Intel:

• Микропроцессоры (включая микрокод ПЗУ + обновления)
• Наборы микросхем
• Компоненты программируемой вентильной матрицы (ПЛИС)
• Сетевые / коммуникационные компоненты
• Память
• Материнские платы / системы (e.г., Intel Compute Stick, NUC)
• Твердотельные накопители (SSD)
• UEFI BIOS (основные компоненты Tiano, в отношении которых Intel является единственным ответственным за сопровождение)
• Intel® Management Engine
• Контроллер управления основной платой (BMC)
• Драйверы устройств
• Приложения
• Средства разработки

Intel рекомендует сообщать обо всех потенциальных уязвимостях.

Intel может по собственному усмотрению отклонить любую заявку, которая, по нашему мнению, не соответствует указанным выше критериям или считается неприемлемой, как указано ниже.

Отчеты, не отвечающие критериям (вне области)

Ниже приведены общие категории уязвимостей, которые считаются неприемлемыми для вознаграждения за вознаграждение:

• Материалы, в которых злоумышленник должен физически открыть корпус, в том числе открутить винты или сломать пластиковый корпус (открытое шасси), чтобы получить доступ к внутреннему оборудованию устройства.
• Уязвимости в предварительных версиях продукта (например, Beta, Release Candidate).
• Уязвимости в версиях продукта больше не находятся под активной поддержкой.
• Уязвимости, уже известные Intel. Однако, если вы первый внешний исследователь безопасности, который обнаружил и сообщил о ранее известной уязвимости, вы все равно можете иметь право на вознаграждение.
• Уязвимости присутствуют в любом компоненте продукта Intel, где основная причина уязвимости в компоненте уже была идентифицирована для другого продукта Intel.
• Уязвимости в продуктах и ​​технологиях, которые не указаны в списке «Соответствующие продукты и технологии под брендом Intel», включая уязвимости, выходящие за рамки, как определено ниже.

Любое поведение исследователя безопасности или репортера, которое кажется незаконным, злонамеренным или преступным по своему характеру, немедленно приведет к исключению любых материалов из программы. Не занимайтесь вымогательством.

Награды за Bug Bounty

Право на получение вознаграждения за обнаружение ошибок и определение суммы вознаграждения принимаются Intel по собственному усмотрению. Вот некоторые общие рекомендации, которые могут отличаться от опубликованной документации:

1. на основе потенциального воздействия уязвимости системы безопасности
2. для хорошо написанных отчетов с полными инструкциями по воспроизведению / доказательством концепции (PoC).См. Требования к приемлемым отчетам выше.
3. , если предлагается функциональное смягчение или исправление вместе с сообщенной уязвимостью.
4. Intel наградит премией за первое подходящее сообщение об уязвимости системы безопасности.

• Награды ограничены одной (1) премией за каждую подходящую первопричину уязвимости.
• Intel присудит вознаграждение от 500 до 100 000 долларов США в зависимости от типа уязвимости и оригинальности, качества и содержания отчета.
• Intel будет публично признавать награжденных исследователей безопасности через Intel Security Advisories во время или после публичного раскрытия уязвимости в координации с исследователем безопасности, сообщившим об уязвимости.
• Суммы премий могут меняться со временем. Прошлые награды не обязательно гарантируют такую ​​же награду в будущем.

График вознаграждений

Каждый отчет о награде за ошибку оценивается индивидуально на основе технических деталей, представленных в отчете.Корпорация Intel обычно следует приведенным ниже процедурам для оценки и определения серьезности обнаруженной потенциальной уязвимости системы безопасности.

• Оценка уязвимости — Intel PSIRT гарантирует, что вся запрошенная информация предоставлена ​​для сортировки. Список необходимой информации см. В разделе «Отчеты об ошибках» выше.
• Triage — Группа инженеров по продуктам и экспертов по безопасности Intel определит, является ли уязвимость действительной и затрагивается ли соответствующий продукт или технология Intel.
• Определение серьезности уязвимости — Intel PSIRT работает с инженерами Intel по безопасности продуктов и экспертами Intel по безопасности, чтобы определить серьезность и влияние уязвимости.

Награды Intel bug bounty варьируются от 500 до 100 000 долларов. При определении суммы вознаграждения для соответствующих отчетов мы принимаем во внимание ряд факторов. Эти факторы включают, помимо прочего, качество отчета, влияние потенциальной уязвимости, оценку серьезности CVSS, предоставление POC и качество POC, тип уязвимости.В таблице ниже приведены общие сведения о возможных суммах вознаграждения. Однако награды могут варьироваться в зависимости от факторов, упомянутых выше.

Что такое программы Bug Bounty и почему они становятся такими популярными?

Некоторые организации запускают программы вознаграждения за ошибки как способ выявления и исправления уязвимостей в своих производственных приложениях. Программа bug bounty дает этическим хакерам разрешение проверять, содержат ли приложения организации определенные типы уязвимостей.

Детали программ поощрения ошибок могут отличаться от одной организации к другой. Некоторые компании могут объявить «сезон открытых дверей» для своих приложений, позволяя этичным хакерам проверить любую потенциальную уязвимость на поверхности атаки организации. Другие могут указать приложения и веб-страницы, которые считаются «в объеме», и какие уязвимости тестеры могут и не могут тестировать. Например, можно поощрять тестирование уязвимости межсайтового скриптинга (XSS) на веб-сайте, в то время как попытка атаки типа «отказ в обслуживании» (DoS) против нее — нет.

Если этичный хакер обнаруживает уязвимость, он отправляет отчет в организацию, часто через такую ​​платформу, как HackerOne. Затем организация работает с этическим хакером, чтобы проверить наличие уязвимости, исправить ее и проверить, работает ли исправление. Затем организация выплачивает вознаграждение исследователю уязвимости. Размер вознаграждения обычно зависит от серьезности и воздействия рассматриваемой уязвимости.

Преимущества программ Bug Bounty

Программы вознаграждения за ошибки становятся все более популярными как в государственном, так и в частном секторе.Причина этого в том, что эти программы предоставляют тестируемой организации ряд различных преимуществ.

Повышенное обнаружение уязвимостей

Основное преимущество программы bug bounty заключается в том, что организация выявляет и исправляет ряд уязвимостей в своих приложениях. Если эти уязвимости будут обнаружены и использованы киберпреступником до того, как организация сможет их исправить, то влияние на организацию может быть значительным.

С программой bug bounty организация имеет более высокую вероятность выявления уязвимостей до того, как они могут быть использованы в атаках.Это помогает защитить репутацию компании и снижает вероятность серьезных взломов.

Сниженная стоимость

Программы вознаграждений за ошибки

обеспечивают значительную экономию средств для организации несколькими способами. Одним из них является тот факт, что выплата вознаграждения за получение информации об уязвимости намного дешевле, чем устранение инцидента кибербезопасности, вызванного той же уязвимостью. Хотя значения вознаграждений могут сильно различаться, даже самые дорогие вознаграждения часто на порядок дешевле, чем утечка данных.

Другая экономия затрат, связанная с программами вознаграждения за ошибки, заключается в том, что организация должна платить охотникам за ошибками только в том случае, если они что-то обнаруживают. Программы Bug Bounty предоставляют доступ к огромному количеству специалистов, поскольку охотники ищут потенциальные уязвимости. Это намного дешевле, чем платить за тот же уровень тестирования безопасности внутри компании или через подрядчиков, которым организации должны платить почасово, независимо от того, найдут они что-либо или нет.

Расширенный доступ к талантам

Bug bounty программы также предоставляют организации доступ к талантам, которые может быть трудно или невозможно привлечь и удержать собственными силами.Многие участники программы bug bounty обладают высокой квалификацией и специализируются на выявлении уязвимостей.

Эти охотники за ошибками участвуют в программах вознаграждения за ошибки, потому что они дают возможность регулярно предоставлять огромные награды охотникам за ошибками, если они обладают навыками. Даже если бы эти охотники были заинтересованы в получении заработной платы в организации, они, вероятно, были бы дорогими. С помощью программы bug bounty организация может пройти тестирование уязвимостей большим количеством охотников за ошибками с большим диапазоном навыков и талантов, чем было бы доступно с помощью традиционного теста на проникновение или сканирования уязвимостей.

Реалистичное моделирование угроз

Одна из самых больших проблем при тестировании на проникновение и оценке уязвимости — сделать упражнения реалистичными. Организация хочет найти и исправить уязвимости, которые злоумышленник, скорее всего, использует в первую очередь. Однако реалистичность этих упражнений может быть снижена по ряду различных факторов.

С помощью программы bug bounty организация платит охотникам за ошибками, чтобы они действовали точно так же, как киберпреступники. У них одинаковый уровень знаний о компании и доступ к ее системам.Это означает, что оценка уязвимости, выполняемая охотниками за ошибками, вероятно, будет более реалистичной, чем более структурированное взаимодействие.

Максимальное использование программ Bug Bounty

Программы вознаграждений за ошибки предназначены для выявления уязвимостей, существующих в системах организации сегодня. Однако, если организация и ее разработчики не извлекают уроки из своих ошибок, вознаграждения за ошибки могут быстро накапливаться, поскольку они, вероятно, будут продолжать создавать одни и те же уязвимости.

Наша платформа обучения безопасному программированию предоставляет организациям возможность максимизировать воздействие программ поощрения ошибок, позволяя разработчикам учиться на своих ошибках. Он интегрируется с программами поиска ошибок, такими как HackerOne, чтобы узнать, какие уязвимости существуют в коде организации. Это позволяет нам своевременно проводить целевое обучение разработчиков, чтобы научить их распознавать и исправлять ошибки, которые они допускают при написании кода. По мере того, как разработчики улучшают свои знания и навыки безопасного программирования, количество уязвимостей уменьшается, что приводит к снижению общих затрат на безопасность приложений.

Программа

Security Bug Bounty — Mozilla

Введение

Программа поощрения ошибок Mozilla Security Bug Bounty предназначена для поощрения исследований в области безопасности программного обеспечения Mozilla и для поощрения тех, кто помогает нам сделать Интернет более безопасным.

Общее право на участие

Для получения вознаграждения по этой программе:

• Ошибка безопасности должна быть оригинальной, о которой ранее не сообщалось. Повторные заявки в течение 72 часов разделят награду между репортерами.Если дублирующиеся материалы имеют неравное качество, разделение будет на уровне меньшего отчета, а больший отчет получит пропорциональную дополнительную награду поверх разделения.
• Для проблем в клиентских приложениях существует четырехдневный льготный период, который начинается с регистрации уязвимости в репозитории первичного источника. Если проблема обнаружена внутри компании в течение этих четырех дней, она не имеет права на вознаграждение, даже если проблема не была признана уязвимостью безопасности во время первой идентификации.Если он не обнаружен более четырех дней, он получает право на вознаграждение.
• Ошибка безопасности должна быть частью кода Mozilla, а не кода третьей стороны. Мы будем платить вознаграждения за уязвимости в сторонних библиотеках, встроенных в поставляемый клиентский код или сторонние веб-сайты, используемые Mozilla.
• Вы не должны писать код с ошибками или иным образом участвовать в добавлении кода с ошибками в проект Mozilla.
• Вы должны быть достаточно взрослыми, чтобы иметь право участвовать в этой программе и получать платежи от нее в вашей юрисдикции, или иным образом иметь право на получение платежа, будь то с согласия вашего родителя или опекуна или каким-либо иным образом.
• Вы не должны быть сотрудником, подрядчиком или иным образом иметь деловые отношения с Mozilla Foundation или любой из ее дочерних компаний.
• Вы должны делать все возможное, чтобы не получать, не изменять, не удалять и не хранить данные пользователя или данные Mozilla. Вместо этого используйте свои собственные учетные записи или тестовые учетные записи для целей исследования безопасности.
• Если вы случайно получаете доступ, изменяете, удаляете или сохраняете данные пользователя, мы просим вас немедленно уведомить Mozilla по адресу security @ mozilla.org и удалите все сохраненные данные после уведомления нас.
• Вы не должны находиться в санкционном списке США или находиться в стране (например, Куба, Иран, Северная Корея, Крымский регион Украины, Судан и Сирия) в санкционном списке США.
• Вы не должны использовать уязвимость системы безопасности для собственной выгоды.
• Прежде чем поделиться какой-либо частью проблемы безопасности с третьей стороной, вы должны дать нам разумное количество времени для решения проблемы безопасности.
• Все представленные материалы будут подпадать под условия использования веб-сайта и коммуникаций Mozilla, что дает нам разрешение на использование всех представленных материалов.
• Все материалы также должны соответствовать Политике этикета Bugzilla. Bugzilla может автоматически отключать учетные записи, если отправлено слишком много ошибок, помеченных как недопустимые; в этом случае вы можете связаться с [email protected]; однако имейте в виду, что слишком много недействительных представлений может привести к уменьшению выплат при обнаружении любых допустимых ошибок. Обращайтесь к нам за советами, как улучшить качество вашей отправки.

Баунти можно пожертвовать на благотворительность, укажите это в сообщении об ошибке при регистрации или связавшись с security @ mozilla.орг.

Не угрожайте и не пытайтесь вымогать Mozilla. Мы не будем назначать вознаграждение, если вы угрожаете скрыть от нас проблему безопасности или если вы угрожаете опубликовать уязвимость или любые открытые данные.

Безопасная гавань

Mozilla решительно поддерживает исследования безопасности наших продуктов и хочет поощрять эти исследования.

В результате мы не будем угрожать или возбуждать какие-либо судебные иски против тех, кто добросовестно пытается соблюдать эту программу Bug Bounty, или за любое случайное или добросовестное нарушение этой политики.Это включает в себя любые претензии согласно DMCA об обходе технологических мер по защите сервисов и приложений, подпадающих под действие этой политики.

Если вы соблюдаете эту политику:

• Мы считаем, что ваше исследование безопасности «санкционировано» в соответствии с Законом о компьютерном мошенничестве и злоупотреблении,
• Мы отказываемся от любых ограничений в наших применимых Условиях обслуживания и Политике допустимого использования, которые запрещают ваше участие в этой политике, для ограниченной цели вашего исследования безопасности в соответствии с этой политикой.

Мы понимаем, что многие системы и службы Mozilla связаны со сторонними системами и службами. Хотя мы можем разрешить ваше исследование систем и услуг Mozilla и обещать, что Mozilla не будет возбуждать или угрожать судебным разбирательством против вас за ваши усилия в соответствии с этой политикой, мы не можем санкционировать усилия в отношении сторонних продуктов или гарантировать, что они не будут возбуждать судебные иски против ты. Однако, если третья сторона угрожает или возбуждает судебный иск против вас за ваши усилия в соответствии с этой политикой, мы готовы дать ясно понять — суду, общественности или иным лицам — что мы санкционировали ваши усилия по тестированию и исследованию безопасности. соответствующих критериям систем и услуг Mozilla.

Если вы не уверены, соответствует ли ваше поведение этой политике, сначала свяжитесь с нами по адресу [email protected], и мы сделаем все возможное, чтобы уточнить это.

Интернет и клиент

Mozilla управляет двумя разными программами поощрения ошибок. Один посвящен Firefox и другим приложениям Mozilla, а другой — нашим веб-сайтам и службам.

Безопасность GitHub — Bug Bounty на GitHub

Как определяется награда за награду?

Наши группы безопасности и разработки принимают во внимание множество факторов при определении вознаграждения.Эти факторы включают сложность успешного использования уязвимости, потенциальную уязвимость, а также процент затронутых пользователей и систем. Иногда критическая уязвимость оказывает очень незначительное влияние просто потому, что ее устраняет какой-либо другой компонент, например требует взаимодействия с пользователем, непонятного веб-браузера или может быть объединена с другой уязвимостью, которая в настоящее время не существует. Кроме того, по крайней мере, два инженера по безопасности GitHub согласовывают серьезность и сумму до того, как будет произведена выплата.

Могу ли я отправить видео-доказательство концепции?

Вы, безусловно, можете прикрепить видео, если считаете, что оно прояснит вашу заявку. Однако все материалы должны также включать пошаговые инструкции по воспроизведению ошибки. Команда безопасности сообщит вам, если мы думаем, что видео прояснит ваш отчет. Заявки, которые включают только шаги воспроизведения видео, будут иметь более длительное время ответа, и мы можем закрыть вашу заявку как Неприменимо .

Неужели бот отклонил мою заявку?

Вы можете получить ответ от бота. Бот выполняет некоторую работу за нас, но только тогда, когда мы об этом говорим. Мы в GitHub Security «делаем свои собственные трюки». Инженер по безопасности приложений на GitHub проверяет каждую отправку. В большинстве случаев мы используем бота для автоматизации обмена сообщениями и других задач. Будьте уверены, человек действительно просмотрел ваше сообщение.

Могу ли я отправить отчет через стороннего брокера или брокера уязвимостей?

Программа Bug Bounty

GitHub предназначена как для поощрения отдельных исследователей, так и для повышения безопасности всех пользователей GitHub.Мы не считаем, что раскрытие уязвимостей GitHub третьим сторонам позволяет достичь любой из этих целей. В результате, любые уязвимости, о которых третьи стороны раскрывают перед тем, как быть отправлены в нашу программу, не имеют права на получение вознаграждения.

Что такое баллы?

Мы не только даем исследователям деньги, но и пытаемся развлечься. Мы присваиваем баллы каждой уязвимости и перечисляем ее на этом сайте. Исследователи, набравшие наибольшее количество баллов, перечислены в нашей таблице лидеров.Хотя мы используем многие из тех же показателей при определении балльной стоимости, что и для долларовой стоимости, мы также принимаем во внимание другие нематериальные факторы. Например, если вы предоставите отличное описание уязвимости с функциональным POC, которое будет учтено.

Что делать, если я не хочу, чтобы моя работа публиковалась на веб-сайте баунти или у меня нет учетной записи GitHub?

Пожалуйста, присылайте нам свою уязвимость! Мы опубликуем вашу заявку только после вашего одобрения.Чтобы быть видимым в таблице лидеров, вы должны предоставить нам имя пользователя GitHub. Это позволяет нам связывать представления с одним пользователем и создавать страницу вашего профиля.

Почему серьезность на HackerOne не соответствует награде, которую я получил?

Мы не всегда обновляем HackerOne с установленной степенью серьезности, потому что мы отслеживаем эту информацию внутри компании. Наши правила выплат и размер вознаграждения определяют нашу оценку серьезности, а не серьезность в HackerOne.

Где ваш ключ PGP? Я хочу использовать его, когда сообщаю об уязвимости.

Если вы абсолютно уверены, что шифрование сообщения необходимо, прочтите наши инструкции и предостережения для отправки PGP.

Какие виды DoS-представлений допустимы?

Как указано в разделе , выполняющем ваше исследование, , исследование отказа в обслуживании лучше всего проводить на вашем собственном экземпляре GHES.Причинение проблемы доступности просто бесполезно. Нас интересуют только проблемы отказа в обслуживании на уровне приложений (логические бомбы, ReDoS и т. Д.). Заявки на объемные атаки не подлежат вознаграждению, и мы можем заблокировать вашу учетную запись GitHub или временно заблокировать ваш IP-адрес.

Исследователи Infosec говорят, что программа Apple по устранению ошибок требует доработки

Увеличить / Если вы не поддерживаете хорошие отношения с репортерами ошибок, вы не сможете контролировать сроки раскрытия информации.

The Washington Post сообщила ранее сегодня, что отношения Apple со сторонними исследователями безопасности могут потребовать некоторой дополнительной тонкой настройки. В частности, программа Apple «bug bounty» — способ, которым компании поощряют исследователей этической безопасности находить и ответственно раскрывать проблемы безопасности в ее продуктах, — кажется менее удобной для исследователей и более медленной по сравнению с отраслевым стандартом.

The Post сообщает, что она опросила более двух десятков исследователей в области безопасности, которые сравнили программу Apple bug bounty с аналогичными программами конкурентов, включая Facebook, Microsoft и Google.По словам генерального директора Luta Security Кэти Муссурис, эти исследователи утверждают, что существуют серьезные проблемы с коммуникацией и общее недоверие между Apple и сообществом информационных систем, которые должны быть заманчивыми.

Плохое общение и невыплаченные награды

Инженер-программист Тянь Чжан кажется прекрасным примером анекдота Муссуриса. В 2017 году Чжан сообщил о серьезном недостатке безопасности в HomeKit, платформе домашней автоматизации Apple.По сути, этот недостаток позволял любому, у кого были Apple Watch, использовать любые аксессуары под управлением HomeKit, находящиеся рядом с ним, включая интеллектуальные замки, а также камеры наблюдения и освещение.

После месяца безответных писем в службу безопасности Apple, Чжан обратился к новостному сайту Apple 9to5Mac с просьбой связаться с Apple PR — Чжан назвал их «гораздо более отзывчивыми», чем Apple Product Security. Две недели спустя — через шесть недель после первого сообщения об уязвимости — проблема была наконец устранена в iOS 11.2.1.

По словам Чжана, его второй и третий отчеты об ошибках снова были проигнорированы Product Security без выплаты вознаграждений или кредитов, но сами ошибки были исправлены. Участие Чжана в программе Apple Developer Program было аннулировано после сообщения о третьей ошибке.

Реклама

Несмотря на то, что приложению были предоставлены разрешения «только в использовании», Бруннер обнаружил, что его приложение на самом деле получало фоновое разрешение 24/7.

Швейцарский разработчик приложений Николя Бруннер испытал аналогичный разочаровывающий опыт в 2020 году.Разрабатывая приложение для Swiss Federal Roadways, Бруннер случайно обнаружил серьезную уязвимость отслеживания местоположения iOS, которая позволяет приложению iOS отслеживать пользователей без их согласия. В частности, предоставление приложению разрешения на доступ к данным о местоположении только в то время, когда оно находится на переднем плане, фактически предоставляет постоянный доступ к приложению с отслеживанием 24/7.

Бруннер сообщил об ошибке в Apple, которая в конечном итоге исправила ее в iOS 14.0 и даже упомянула Бруннера в примечаниях к выпуску безопасности. Но в течение семи месяцев Apple сомневалась в выплате ему вознаграждения, в конце концов уведомив его, что «сообщенная проблема и ваше доказательство концепции не демонстрируют перечисленные категории» для выплаты вознаграждения.По словам Бруннера, Apple перестала отвечать на его электронные письма после этого уведомления, несмотря на запросы о разъяснении.

Согласно собственной странице выплат Apple, обнаруженная Бруннером ошибка легко может претендовать на награду в размере 25 000 или даже 50 000 долларов в категории «Установленное пользователем приложение: несанкционированный доступ к конфиденциальным данным». В этой категории конкретно упоминаются «конфиденциальные данные, обычно защищаемые с помощью запроса TCC», а на странице выплат позже определяется «конфиденциальные данные», включающие «данные о точном местоположении в реальном времени или за прошлые периоды или аналогичные данные пользователя, которые обычно не допускаются системой. .«

Когда мы попросили прокомментировать дело Бруннера, глава отдела безопасности и архитектуры Apple Иван Крстич сказал The Washington Post, что «когда мы делаем ошибки, мы усердно работаем над их быстрым исправлением и учимся на них, чтобы быстро улучшать программу».

Недружественная программа

Брокер Enlarge / Vulnerability Zerodium предлагает значительные вознаграждения за ошибки нулевого дня, которые затем перепродает злоумышленникам, таким как израильская NSO Group.

Муссурис, который помогал создавать программы вознаграждения за ошибки как для Microsoft, так и для Министерства обороны США, сказал The Post, что «у вас должен быть работоспособный внутренний механизм исправления ошибок, прежде чем вы сможете попытаться создать работоспособную программу выявления уязвимостей.Далее Муссурис спросил: «Что, по вашему мнению, произойдет, если [исследователи] сообщат об ошибке, о которой вы уже знали, но не исправили? Или если они сообщат о чем-то, на исправление которого у вас уйдет 500 дней? »

Реклама Один из таких вариантов — обойти относительно недружелюбную программу вознаграждения за ошибки, проводимую данным поставщиком, и вместо этого продать уязвимость брокерам серого рынка, где доступ к ним, в свою очередь, может быть куплен злоумышленниками, такими как израильская NSO Group.Zerodium предлагает вознаграждение в размере до 2 миллионов долларов за наиболее серьезные уязвимости iOS, включая менее серьезные уязвимости, такие как ошибка определения местоположения Бруннера в категории «до 100 000 долларов».

Бывший научный сотрудник АНБ Дэйв Эйтель сообщил The Post, что закрытый, скрытный подход Apple к работе с исследователями безопасности снижает общую безопасность продукта. «Хорошие отношения с сообществом специалистов по безопасности дают вам стратегическое видение, выходящее за рамки цикла разработки продукта», — сказал Айтель, добавив: «Наем кучки умных людей только поможет вам.«

Основатель

Bugcrowd Кейси Эллис говорит, что компании должны платить исследователям, когда обнаруженные ошибки приводят к изменениям кода, закрывающим уязвимость, даже если — как Apple довольно сбивчиво рассказала Бруннеру о его ошибке определения местоположения — обнаруженная ошибка не соответствует строгой интерпретации компании. руководящие указания. «Чем больше будет добросовестности, тем более продуктивными будут программы вознаграждений», — сказал он.

Безудержный успех?

Собственное описание Apple своей программы поощрения ошибок явно более радужно, чем можно было бы предположить в описанных выше инцидентах и ​​реакции более широкого сообщества специалистов по безопасности.

Глава

Apple по разработке и архитектуре безопасности Иван Крстич сказал Washington Post, что «программа Apple Security Bounty имела безоговорочный успех». По словам Крстича, компания почти удвоила свои ежегодные выплаты за ошибки и лидирует в отрасли по средней сумме вознаграждений.

«Мы упорно работаем над масштабированием программы во время ее стремительного роста, и мы продолжим предлагать высшие награды исследователям безопасности», — продолжил Крстич. Но, несмотря на то, что Apple увеличила в годовом исчислении общие выплаты вознаграждений, компания сильно отстает от конкурентов Microsoft и Google, которые выплатили в общей сложности 13 долларов.6 миллионов и 6,7 миллиона долларов соответственно в их последних годовых отчетах по сравнению с 3,7 миллионами долларов Apple.

Программа вознаграждений за обнаружение ошибок в системе безопасности в Piwik PRO

Безопасность — важная часть ДНК Piwik PRO. Вот почему мы предлагаем вознаграждение исследователям в области безопасности, которые обнаруживают и сообщают нам о любой серьезной уязвимости в нашей платформе: Piwik PRO Analytics Suite.

Обратите внимание, что эта программа применима только к нашему продукту, любые ошибки, не связанные с нашей платформой (например,грамм. связанные с сайтом piwik.pro) выходят за рамки нашей программы вознаграждения за ошибки.

Правила программы

Для получения вознаграждения по этой программе:

• Выполните аудиторские тесты, используя нашу инфраструктуру основного плана — вы можете создать бесплатную учетную запись по адресу: https://piwik.pro/core-plan/.
• Пожалуйста, предоставьте подробные отчеты с воспроизводимыми шагами. Если отчет недостаточно подробный, чтобы воспроизвести проблему, проблема не будет квалифицирована.
• Не разглашайте публично какие-либо подробности уязвимости, индикаторы уязвимости или содержание информации, предоставляемой уязвимостью, без явного письменного разрешения Piwik PRO.
• Обнаруженная уязвимость должна рассматриваться как новая.
• Попытки обнаружить уязвимости не должны приводить к нарушениям конфиденциальности, уничтожению данных, прерыванию или ухудшению работы нашего сервиса.
• Все конфиденциальные данные, собранные во время атаки, должны быть анонимны в отчете, а после сообщения должны быть защищены и удалены.
• Множественные уязвимости, вызванные одной основной проблемой, будут рассматриваться как единый действительный отчет.

Запрещенные операции

Воздержитесь от:

• Использование автоматизированных инструментов для масштабного сканирования — тесты, выполняемые с целью исследования безопасности, не могут оказать негативного влияния на нашу инфраструктуру и платформу.Этот вид теста может рассматриваться как DOS-атака, и мы можем предпринять действия, чтобы заблокировать этот тип трафика и предотвратить повторение ситуации.
• Предоставление информации об уязвимостях лицам, не авторизованным Piwik PRO.
• Выполнение действий, которые могут негативно повлиять на компанию Piwik PRO или платформу (например, СПАМ).
• Любая физическая атака на ИТ-инфраструктуру и / или персонал компании.
• Социальная инженерия — то есть фишинг, вишинг, улыбка на сотрудников и пользователей Piwik PRO.
• Exfiltrating data — тесты должны проводиться на минимальном количестве данных, необходимых для подтверждения уязвимости.
• Нарушение применимых законов или любых применимых соглашений с целью обнаружения уязвимостей.

Уязвимости вне сферы действия

Следующие проблемы выходят за рамки нашей программы поощрения ошибок:

• Ошибки, не связанные с нашей платформой Piwik PRO Analytics Suite, в инфраструктуре плана Core (например, ошибки, связанные с файлом piwik.pro сайт)
• Уязвимости, влияющие на пользователей устаревших или неподдерживаемых браузеров или платформ
• Ошибки межсайтового скриптинга, требующие маловероятного взаимодействия с пользователем
• Подделка межсайтовых запросов (CSRF) в неаутентифицированных формах или формах без конфиденциальных действий
• Отсутствует CAPTCHA
• Сложность пароля или политики восстановления учетной записи
• HTTPS смешанное содержимое
• Проблемы без четко обозначенного воздействия на безопасность
• Отсутствует передовой опыт в CSP или HSTS
• Неверные или отсутствующие записи SPF, DKIM, DMARC
• Наборы слабых шифров SSL / TLS
• Отправка отчетов об уязвимостях с помощью автоматизированных средств без проверки
• Использование известной уязвимой библиотеки без доказательств возможности ее использования
• Атаки, требующие физического доступа к разблокированному пользовательскому устройству
• Сообщения о спаме, фишинге или передовых методах безопасности
• Раскрытие версии программного обеспечения / проблемы с идентификацией баннеров / описательные сообщения об ошибках или заголовки (например,грамм. трассировки стека, ошибки приложения или сервера)
• Отсутствуют флаги cookie для нечувствительных файлов cookie
• Пользователи с привилегиями суперпользователя, публикующие произвольный код JavaScript (например, через модуль Диспетчера тегов)
• Табнабинг
• Раскрытие пути

Как сообщить?

Обратитесь к нам по адресу bounty_SPC@piwik_SPC.pro с описанием шагов, необходимых для воспроизведения проблемы.

Подробно опишите уязвимость, в том числе:

• Тип выпуска
• Дата и время обнаружения ошибки
• Продукт, версия и конфигурация программного обеспечения или актива, содержащего ошибку
• Пошаговые инструкции по воспроизведению проблемы (подтверждение концепции)
• Воздействие проблемы
• Предлагаемые меры по смягчению или восстановлению, в зависимости от ситуации

Выплаты за вознаграждение

Награды зависят от уровня серьезности ошибки.Ниже вы можете найти примеры проблем, соответствующих каждому типу уровня серьезности.

Critical : 3000 $
Примеры проблем, которые квалифицируются как критические:

• Удаленное выполнение кода
• Повышение привилегий
• Раскрытие данных о клиентах

High : 1000 $
Примеры проблем, которые квалифицируются как высокие:

• SQL-инъекция
• CSRF
• XSS без взаимодействия с пользователем

Средний : 500 долларов
Пример проблемы, которая квалифицируется как средняя:

• XSS с взаимодействием с пользователем

Низкий : 250 долларов
Примеры проблем, которые квалифицируются как низкие:

• Проблемы с производительностью Edge case, которые могут быть использованы для DoS
• Предупреждение о смешанном содержании
• Отладочная информация

Награды будут выплачиваться через PayPal.Степень серьезности может быть рассчитана на основе калькулятора CVSS (базовый балл). Более подробную информацию можно найти здесь.

Bounty Program — Умные замки с отпечатками пальцев Tapplock ™

Добро пожаловать в программу Bug Bounty от Tapplock. Tapplock считает конфиденциальность и безопасность наших пользователей основными принципами нашей платформы. Мы считаем, что работа с опытными исследователями в области безопасности по всему миру имеет решающее значение для выявления слабых мест в любой технологии. Если вы считаете, что обнаружили проблему с безопасностью в каком-либо из наших продуктов или услуг, мы рекомендуем вам уведомить нас.Мы будем рады сотрудничать с вами, чтобы как можно быстрее разрешить любые проблемы в рамках нашей программы.

Квалифицируемые уязвимости

• Любая проблема, связанная с разработкой или реализацией программного обеспечения / микропрограммного обеспечения, которая существенно влияет на конфиденциальность или целостность пользовательских данных, вероятно, будет входить в сферу действия программы. Общие примеры включают:
  • Нарушение аутентификации
  • Ошибки аутентификации и авторизации
  • Удаленное выполнение кода
  • Инъекционные атаки
  • Утечка или раскрытие конфиденциальной информации

Неквалифицированные уязвимости

• Проблемы с оборудованием
• Известные уязвимости
• Ошибки, требующие ВЕРОЯТНО НЕ ВЗАИМОДЕЙСТВОВАТЬ с пользователем
• Устаревшие системы (мобильные системы / старое приложение)
• Раскрытие общедоступной информации и информации, не представляющей значительного риска.
• Ошибки, которые уже были отправлены другим пользователем, о которых нам уже известно или которые классифицируются Tapplock как неприемлемые.
• Ошибки, связанные с контентом / услугами, не принадлежащими Tapplock.
• Грубое форсирование предполагаемой функциональности.
• Отчеты, рекомендующие передовые методы без очевидных доказательств наличия реальной проблемы.
• Спекулятивные отчеты или отчеты без достаточной информации для подтверждения проблемы.

Право на получение любого вознаграждения предоставляется по собственному усмотрению Tapplock в соответствии с этими общими правилами.

• За каждую уязвимость будет назначено только одно вознаграждение
• Если мы получим несколько отчетов об одной и той же уязвимости, вознаграждение получит только тот, кто первым предложит первый отчет.
• Tapplock присудит вознаграждение в зависимости от вероятности и воздействия уязвимости

Низкая — 100–300 долларов США
Средняя — 300–500 долларов США
Высокая — 500–1000 долларов США
Критическая — 1000–3000 долларов США

Tapplock требует, чтобы исследователи предоставляли как можно больше подробностей при отправке отчета.Это поможет нам как можно быстрее воссоздать и исправить все действительные отчеты. Tapplock приложит разумные усилия для прояснения неразборчивых или неполных представлений, но более полные представления часто имеют право на более высокие награды. Чтобы помочь в этом, мы требуем, чтобы все исследователи загрузили форму заявки и полностью ее заполнили. Нет никаких ограничений на количество квалифицированных материалов, которые может предоставить отдельный исследователь и за которые может быть выплачена награда.

Наши инженеры рассмотрят заявку и подтвердят ее соответствие требованиям.Время рассмотрения будет зависеть от сложности и полноты вашей заявки, а также от количества полученных нами материалов.

После того, как ваша заявка будет рассмотрена, и ошибка будет воспроизведена и исправлена, мы рассмотрим, имеет ли ваше представление право на вознаграждение. Если за вашу заявку полагается вознаграждение, мы свяжемся с вами, чтобы организовать оплату. Мы будем признательны всем лицам, получившим награды благодаря нашим Службам онлайн-безопасности.

Убедитесь, что отправляемый вами файл зашифрован с помощью нашего ключа PGP, а тема вашего электронного письма является кратким описанием ошибки. Незашифрованные материалы не принимаются. Все материалы можно отправлять на [email protected]

Форма подачи
Ключ PGP

Если я сообщу об ошибке, должен ли я сохранить конфиденциальность, чтобы получить вознаграждение?

Если вы отправите отчет и опубликуете информацию до того, как мы сможем исправить это, вы не получите никакого вознаграждения за работу, проделанную вами по обнаружению Ошибки.В интересах защиты наших пользователей мы были бы признательны за разумное количество времени для решения проблем, о которых нам сообщают.

Почему вы не выплачиваете вознаграждение за ошибки отказа в обслуживании?

Ошибки отказа в обслуживании обычно менее серьезны, чем другие ошибки безопасности веб-приложений, и во многих случаях не требуют технической уязвимости в веб-приложении.

Сколько времени нужно, чтобы получить результаты процесса проверки после отправки отчета об уязвимости?

Мы стараемся начать процесс проверки, как только будет заявлена ​​уязвимость, но обратите внимание, что нет установленных сроков для объявления результатов процесса проверки.

Что вы имеете в виду под «дублирующим» представлением и почему меня не проинформировали, когда я впервые отправил отчет?

Мы рассматриваем любую заявку, сообщающую об уязвимости системы безопасности, которая уже была нам известна, либо из-за предыдущего отчета об ошибке, либо потому, что мы уже обнаружили ее сами, как дублирующуюся заявку.

В целях максимальной защиты наших клиентов политика Tapplocks заключается в том, чтобы воздерживаться от отправки каких-либо уведомлений о повторяющихся условиях отчета до тех пор, пока мы не устраним потенциальную уязвимость.

Вы исправили мою ошибку, почему мне не заплатили?

В настоящее время мы не выплачиваем награды на индивидуальной основе. Все выплаты будут производиться ежеквартально.

Q1: январь — март: начало мая
Q2: апрель — июнь: начало августа
Q3: июль — сентябрь: начало ноября
Q4: октябрь — декабрь: начало февраля

Эта веб-страница представляет собой юридический документ с условиями, применимыми ко всем лицам («Исследователь»), которые сообщили об уязвимости в Tapplock Corp.(«Барабан»).

Процесс подачи относится к шагам, которые Исследовательский центр должен выполнить, чтобы подать заявку, которые перечислены выше.

Tapplock не может выдавать вознаграждения исследователям, включенным в санкционные списки или находящимся в странах, внесенных в санкционные списки.

Исследователи несут ответственность за любые налоговые последствия в зависимости от страны проживания и гражданства.

Могут быть дополнительные ограничения на возможность участия исследователя в зависимости от местного законодательства исследователя.

Это экспериментальная дискреционная программа вознаграждений. Исследователи должны понимать, что Tapplock может отменить программу в любое время, и решение о выплате вознаграждения должно приниматься исключительно на усмотрение Tapplock.

Тестирование не должно нарушать какие-либо законы, нарушать или ставить под угрозу любые данные, не принадлежащие исследователю.

Стандартные правила программы

• Отправленные материалы должны соответствовать нашему процессу отправки, чтобы их можно было рассматривать для получения вознаграждения.
• Действия, которые влияют на целостность или доступность программ Tapplock, запрещены и строго соблюдаются. Если исследователь замечает снижение производительности систем Tapplock, он должен немедленно прекратить любое использование автоматизированных инструментов.
• Представленные материалы должны повлиять на состояние безопасности Scope. Воздействие означает, что проблема, о которой было сообщено, существенно влияет на пользователей, системы или безопасность данных Scope. Исследователей могут попросить защитить воздействие, чтобы претендовать на награду.
• Прием заявок может быть закрыт, если исследователь не отвечает на запросы о предоставлении информации в течение 7 дней.
Стандартные правила программы
• Tapplock применяются ко всем материалам, отправляемым по электронной почте в Tapplock, включая дубликаты, материалы, выходящие за рамки диапазона, и неприменимые материалы.
• Чтобы иметь право на получение какой-либо денежной компенсации, исследователь должен быть не моложе 18 лет или достиг совершеннолетия в юрисдикции исследователей по месту проживания и гражданства.

Интеллектуальная собственность; Право собственности на результаты тестирования

Исследователь настоящим заявляет, что Исследователь получил необходимые одобрения и согласия от всех третьих лиц, включая работодателя Исследователя, с целью участия в качестве Исследователя.

Для целей этого раздела «Результаты тестирования» означает информацию об уязвимостях, обнаруженных в системах Tapplock, обнаруженных, наблюдаемых или идентифицированных Исследователями.

Исследователь настоящим соглашается и гарантирует, что Исследователь будет раскрывать все Результаты тестирования, обнаруженные или идентифицированные Исследователем («Результаты тестирования исследователя»), компании Tapplock.Кроме того, Исследователь настоящим передает Tapplock и соглашается передать Tapplock любые и все Результаты тестирования Исследователя и права на них. Если какие-либо права на результаты тестирования исследователя не подлежат передаче, исследователь должен предоставить и согласиться предоставить Tapplock на основании любых и всех таких прав безотзывные, оплачиваемые, бесплатные, бессрочные, исключительные, сублицензионные (прямо или косвенно через многоступенчатая), передаваемая и всемирная лицензия на использование и разрешение другим лицам использовать такие Результаты тестирования любым способом по желанию Tapplock (и / или клиентов и спонсоров Tapplock) без ограничений или отчетности перед Исследователем, включая, помимо прочего, право на создавать, делать, продавать, предлагать к продаже, использовать, сдавать в аренду, сдавать в аренду, импортировать, копировать, готовить производные работы, публично демонстрировать, публично выполнять и распространять все или любую часть таких Результатов тестирования и их модификаций и комбинаций, а также сублицензировать ( прямо или косвенно через несколько уровней) или передавать любые и все такие права.Кроме того, исследователь должен отказаться и согласиться отказаться в пользу Tapplock от любых моральных или иных прав или требований, которые противоречат цели полной передачи прав Tapplock в результатах тестирования исследователя.

Обязательства по конфиденциальности

«Конфиденциальная информация» означает любую информацию, которая помечена или иным образом обозначена как конфиденциальная во время раскрытия или которую разумное лицо сочло бы конфиденциальной в зависимости от обстоятельств и содержания раскрытия, и которая раскрывается в связи с программой вознаграждений Tapplock.Конфиденциальная информация не включает информацию, которая: (i) является или становится известной принимающей стороне из источника, отличного от источника, имеющего обязательство о конфиденциальности перед раскрывающей стороной; (ii) является или становится общеизвестным или иным образом перестает быть конфиденциальным, кроме как в результате нарушения настоящего Соглашения; или (iii) независимо разработан принимающей стороной.

Перед тем, как участвовать в любом тестировании или представлять результаты, Исследователь соглашается с тем, что Исследователь будет (i) хранить конфиденциальную информацию в секрете и не разглашать ее третьим лицам, за исключением случаев, когда это было одобрено в письменной форме раскрывающей стороной; (ii) защищать такую ​​Конфиденциальную информацию, по крайней мере, с той же степенью осторожности, которую Исследователь использует для защиты своей собственной Конфиденциальной информации, но ни в коем случае не менее чем с разумной осторожностью; (iii) использовать Конфиденциальную информацию раскрывающей стороны только для целей, разрешенных раскрывающей стороной; и (iv) немедленно уведомить раскрывающую сторону при обнаружении любой потери или несанкционированного раскрытия Конфиденциальной информации раскрывающей стороны.

ВСЕ ПРЕДСТАВЛЕНИЯ ЯВЛЯЮТСЯ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИЕЙ TAPPLOCK, ЕСЛИ НЕ УКАЗАНО ИНОЕ. Это означает, что никакие материалы не могут быть публично раскрыты в любое время, если Tapplock не согласился на раскрытие иным образом.