漏洞悬赏计划仍然是2024年网络安全战略的重要组成部分,为组织提供了从各种网络安全专业人员和研究人员那里获得帮助的能力。Bugcrowd、HackerOne、Synack、YesWeHack和integriti等领先的漏洞奖励平台将道德黑客与组织联系起来,为漏洞披露和解决方案提供结构化框架,并为成功识别和报告安全漏洞的行为提供奖励。技术提供商和政府组织也会运行独立的漏洞悬赏计划,作为更广泛的安全测试策略的一部分。
以下是2024年最受瞩目的11个顶级漏洞悬赏项目:
Alphabet提高悬赏金额
今年7月,Alphabet意识到随着其系统变得越来越成熟,发现漏洞变得越来越困难,并通过漏洞悬赏计划将提供的奖励提升至最高151515美元。支付金额将反映报告的质量,特别高质量的报告将在基准支付的基础上增加50%的奖金。相反地,质量差但有效的漏洞披露只会获得应得奖励的一半。
例如,一个导致Gmail帐户被接管的逻辑缺陷将获得5万美元乘以1.5倍的潜在质量乘数,最高可获得7.5万美元。而在今年奖金增加之前,同样的漏洞只能赚到13337美元。
Google的Web服务、Chrome浏览器、Android和谷歌设备等产品都涵盖在其漏洞奖励计划(VRP)中。
微软修改了长期运行的漏洞披露计划
微软也不甘示弱,在过去一年里大幅增加了漏洞赏金。从2020年到2023年,微软每年通过漏洞悬赏计划支付了大约1300万美元。然而,在2024年,这一数额增加到了1660万美元。来自55个国家的343名安全研究人员获得了奖金。包括Azure、Microsoft Identity、Edge、Windows和Office 365在内的云服务都涵盖在该计划范围内。
微软在一篇回顾其漏洞赏金计划的博文中表示:“随着安全形势和微软攻击面的演变,微软赏金计划也在不断发展。无论是扩大范围以涵盖新的微软产品和服务,还是调整研究目标以防止恶意行为者和新型攻击媒介,微软赏金计划都在不断改进和完善。”
今年4月,微软还专门针对人工智能推出了一项新的漏洞赏金计划,为涉及其Copilot人工智能技术的漏洞报告提供高达1.5万美元的奖金。
英国军队武装自己以抵御安全威胁
今年2月,英国国防部(MOD)宣布将与HackerOne合作扩大防御安全计划。
这个为期三年的项目最初的范围包括漏洞披露和漏洞悬赏计划。国防部现在已经扩大了漏洞披露计划(VDP)的范围,将多个主要供应商纳入其中,作为更广泛计划的一部分,以改善供应链安全,并最终推动他们引入自己的漏洞披露计划。
云软件即服务协作平台提供商Kahootz是国防部供应商VDP计划的首批采用者。
英国的计划至少在一定程度上受到了美国“黑进五角大楼”(Hack the Pentagon)计划的启发。
关键的Backpack漏洞奖金高达10万美元
那些希望获得更多经济回报的道德黑客可以挖挖Backpack的漏洞,它是一家专注于非托管钱包和浏览器扩展的交易所。今年7月份,Backpack与Immunefi平台合作推出了漏洞悬赏项目,对确认为Backpack网络或API中的漏洞提供高达10万美元的奖励。
人工智能初创公司Anthropic推出漏洞报告计划
今年8月,人工智能初创公司Anthropic与由HackerOne合作推出了一项漏洞披露计划(VDP)为可能暴露CBRN(化学、生物、放射性和核)和网络安全等关键高风险领域的新颖漏洞、通用越狱攻击提供高达1.5万美元的奖励。
人工智能中的越狱攻击涉及一种绕过人工智能系统内置安全措施和道德准则的方法,允许用户从人工智能系统中引出通常会被阻止的反应或行为。
Anthropic在一篇关于改进计划的博客文章中表示:“在我们致力于开发下一代人工智能保护系统的同时,我们正在扩大我们的漏洞悬赏计划,引入一项新的举措,重点是发现我们用来防止模型被滥用的缓解措施中的缺陷。”
该漏洞披露计划(VDP)提供了一个结构化的系统,使安全研究人员可以更轻松地报告漏洞。随着时间的推移,许多组织已经从VDP过渡到成熟的漏洞悬赏计划。
Anthropic的VDP涵盖其面向公众的网站和其他数字资产,包括Claude iOS应用程序、Claude.ai域、内部应用程序和服务、API和软件开发工具包。
法国政府机构提供高达5000欧元的奖金
负责法国国家数字化转型的机构DINUM正在通过YesWeHack提供一项漏洞悬赏计划。
该计划于2月份启动,主要针对DINUM的Web应用程序和API。该计划欢迎上报经典的web应用程序安全漏洞,包括SQL注入、跨站点脚本、跨站点请求伪造和远程代码执行等。
如果针对范围内的资产进行攻击能够暴露有效凭据将获得高达5000欧元的奖励。有关敏感信息泄露的报告不在该计划的范围之内。
Netflix接收漏洞悬赏报告
Netflix的漏洞悬赏计划旨在通过众包黑客社区的安全漏洞报告来提高其产品和服务的安全性。该项目于2018年公开,最初由Bugcrowd托管,之后转移到HackerOne。
该计划的最新版本于今年5月推出,为发现最严重漏洞的安全研究人员提供最高2.5万美元的奖励。高严重性目标包括破坏内容授权或获取私钥的方法。Netflix的iOS和Android移动应用程序也在考虑范围之内。
Airbnb改进漏洞悬赏计划
今年5月,Airbnb通过HackerOne推出了一项改进后的漏洞悬赏计划。发现Airbnb网站或移动应用程序漏洞的道德黑客可获得高达2.5万美元的奖金。
该计划涵盖在线寄宿家庭市场的各种web应用程序安全漏洞。
自2015年首次推出该计划以来,Airbnb已经通过该计划支付了总计240万美元的奖金。漏洞披露程序迄今已解决了1394份报告。平均赏金从500美元到750美元不等。
英国数字银行Monzo寄希望于漏洞悬赏计划
今年7月,英国数字银行Monzo通过integriti推出了一项公共漏洞悬赏计划。该计划为经过验证的关键漏洞发现提供高达1.25万欧元的奖励。
该计划涵盖银行网站、API、内部工具和移动应用程序中的安全漏洞。
Grafana寻求黑客帮助根除源代码缺陷
Grafana是一个用于监控和可观察性的开源平台,它也通过Integriti推出了一项漏洞悬赏计划。通过5月份启动的该计划,报告关键漏洞和经过验证的漏洞可以获得高达1.5万欧元的奖金。
该项目旨在激励道德黑客发现Grafana软件中的漏洞。Grafana实验室开发的未默认安装的插件漏洞也接受提交,但没有资格获得赏金。
Bluefin漏洞赏金高达五千美元
今年7月,Bluefin与Web3的漏洞赏金和安全服务平台Immunefi合作推出了一项漏洞悬赏计划。
该计划提供高达5000美元的奖励,其中trade.bluefin.io网站和相关资产是重中之重。
范围涵盖各种网络安全漏洞,包括SQL注入、跨站请求伪造以及导致敏感信息泄露的错误。此外,业务逻辑问题和支付操纵问题也有资格获得潜在奖励。
原文链接:https://www.csoonline.com/article/657751/top-bug-bounty-programs.html