L’été est arrivé dans l’hémisphère nord, mais cela n’a pas interrompu le flux constant de nouveaux programmes de primes de bogues sur le marché.
Pendant le teaser de son nouveau mode de verrouillage ce mois-ci, Pomme a déclaré que les vulnérabilités de la nouvelle technologie anti-logiciels espions peuvent être divulguées via son Prime de sécurité programme. Des récompenses allant jusqu’à 2 millions de dollars sont proposées.
Le mode de verrouillage, qui sera livré avec iOS 16, iPadOS 16 et macOS Ventura, est décrit comme « une protection extrême et facultative pour le très petit nombre d’utilisateurs confrontés à des menaces graves et ciblées pour leur sécurité numérique ».
l’Australie Université Monash a également mis en place un nouveau programme de primes de bogues, qui vise à renforcer ses défenses face à une série de cyberattaques affectant le secteur de l’éducation.
Ce mois-ci, deux nouveaux programmes de récompenses pour le marché en plein essor de l’identité numérique s’ajoutent à l’offre, comme Onfido s’associe à YesWeHack et India’s Aadhar plonge ses orteils dans l’eau avec un programme qui lui est propre.
Aadhaar est le plus grand programme d’identité numérique au monde qui fournit des services à plus de 1,3 milliard de résidents indiens. Pour participer à ce nouveau bug bounty privé, les hackers doivent postuler via le Site Internet de l’UIDAI.
La barre d’entrée est également élevée, car Aadhaar stipule que « les candidats doivent être répertoriés dans le top 100 des classements de primes de bogues tels que HackerOne, Bugcrowd, ou répertoriés dans les programmes de primes menés par des sociétés réputées telles que Microsoft, Google, Facebook , [or] Pomme ».
Les derniers programmes de primes de bugs pour août 2022
Aadhar
Fournisseur de programme :
Indépendant
Type de programme :
Privé
Récompense maximale :
À déterminer
Présenter:
Dans un effort pour sécuriser les données Aadhaar hébergées dans le référentiel central de données d’identités (CIDR) de l’UIDAI, l’UIDAI prévoit le lancement d’un nouveau programme de primes aux bogues.
Remarques:
Les détails complets de l’application peuvent être trouvés sur le site Web de l’UIDAI. Le nombre de participants est limité à 20, qui doivent tous être des résidents indiens.
Apple – Mode de verrouillage
Fournisseur de programme :
Indépendant
Type de programme :
Public
Récompense maximale :
2 millions de dollars
Présenter:
Apple a créé une nouvelle catégorie au sein du Programme Apple Security Bounty pour récompenser les chercheurs qui trouvent des contournements du mode de verrouillage et aider à améliorer ses protections.
Remarques:
Les primes ont été doublées pour les découvertes éligibles en mode verrouillage, jusqu’à un maximum de 2 millions de dollars – l’un des paiements maximaux les plus élevés de l’industrie.
BKEX
Fournisseur de programme :
HackenPreuve
Type de programme :
Public
Récompense maximale :
10 000 $
Présenter:
BKEX est une plateforme mondiale de négociation d’actifs numériques, comprenant plus de 1 200 crypto-monnaies.
Remarques:
Le nouveau programme de primes de bogues de la société de services financiers regorge d’une gamme de vecteurs d’attaque Web dans le champ d’application, y compris l’exécution de code à distance (RCE), les vulnérabilités d’injection SQL, les problèmes d’inclusion de fichiers et de contrôle d’accès, la falsification de requête côté serveur (SSRF), – la falsification de demande de site (CSRF), les scripts intersites (XSS) et la traversée de répertoires.
ClickHouse
Fournisseur de programme :
Foule d’insectes
Type de programme :
Public
Récompense maximale :
2 500 $
Présenter:
ClickHouse est un système de gestion de base de données OLAP open source et orienté colonnes qui permet aux utilisateurs de générer des rapports analytiques à l’aide de requêtes SQL en temps réel. L’objectif principal du programme public est la version open source de la plateforme ClickHouse.
Remarques:
« Aucune technologie n’est parfaite, et ClickHouse estime que travailler avec des chercheurs en sécurité qualifiés à travers le monde est crucial pour identifier les faiblesses de toute technologie », a déclaré la société. « Nous sommes ravis que vous participiez en tant que chercheur en sécurité pour nous aider à identifier les vulnérabilités de nos actifs open source. »
Université Monash
Fournisseur de programme :
Foule d’insectes
Type de programme :
Public
Récompense maximale :
2 500 $
Présenter:
L’Université Monash de Melbourne, en Australie, a lancé un programme public de primes de bogues pour aider à maintenir la sécurité de ses plateformes numériques.
Remarques:
Les cibles visées comprennent les principaux Domaine Web de l’Université Monash et des applications mobiles, ainsi que diverses technologies utilisées par l’institution, y compris ses instances VPN et FileShare.
Onfido
Fournisseur de programme :
YesWeHack
Type de programme :
Privé
Récompense maximale :
À déterminer
Présenter:
La société de vérification d’identité numérique Onfido a lancé un nouveau programme de primes de bogues, en partenariat avec la plateforme européenne de divulgation des vulnérabilités YesWeHack.
Remarques:
Commentant le partenariat, Alex Valle, directeur produit chez Onfido, a déclaré : « La sécurité et la conformité sont essentielles à notre mission de créer un monde plus ouvert, où l’identité est la clé de l’accès en ligne, et nous recherchons toujours des moyens de renforcer cette. »
SideFX
Fournisseur de programme :
HackerOne
Type de programme :
Public
Récompense maximale :
3 000 $
Présenter:
SideFX, basé au Canada, est le développeur de Houdini, une application logicielle d’animation 3D utilisée dans le cinéma, la télévision, la publicité et les jeux vidéo.
Remarques:
Seules les vulnérabilités découvertes dans le domaine Web principal de l’entreprise, sidefx.com, sont applicables dans le cadre de ce nouveau programme de primes de bogues.
ZBWeb
Fournisseur de programme :
HackenPreuve
Type de programme :
Public
Récompense maximale :
5 000 $
Présenter:
Fondée en 2013, ZB.com est une plateforme de trading numérique mondiale, facilitant l’échange et la gestion d’actifs numériques de tous les coins du globe.
Remarques:
Les vulnérabilités Web concernées incluent les problèmes de logique métier, la manipulation des paiements, le RCE, l’injection SQL, les problèmes de contrôle d’accès, SSRF, CSRF, XSS et d’autres vulnérabilités avec une « perte potentielle évidente ».
Autres bug bounty et actualités VDP ce mois-ci
- HackerOne a révélé les détails d’un incident impliquant un ancien employé accusé d’avoir accédé à des données internes à des fins financières personnelles.
- Allez papa, Treilliset fidélité ont lancé des programmes de divulgation des vulnérabilités (VDP) (non rémunérés).
- Développeur de plateforme publicitaire et société de médias sociaux Méta a sorti son premier ‘Bulletin de bogues‘, qui comprend des détails sur certaines des découvertes notables identifiées dans son propre code et dans un code tiers.