Avec tous les regards tournés vers l’Ukraine ce mois-ci, HackerOne a été contraint de s’excuser après que les chasseurs de primes de bogues du pays aient été temporairement verrouillés sur leurs comptes, empêchant l’accès à leurs fonds.
Le responsable du piratage informatique et CISO Chris Evans a imputé le problème aux retards dans les systèmes de paiement backend. Le problème est survenu à la suite de sanctions dans la région, HackerOne suggérant d’abord que les paiements aux chasseurs de primes de bogues en Russie et en Biélorussie seraient automatiquement reversés à des œuvres caritatives. Il a ensuite fait marche arrière, affirmant que l’argent serait détenu sur leurs comptes.
Pendant ce temps, des inquiétudes ont été exprimées concernant un plan de la plate-forme de primes de bogues basée en Estonie HackenPreuve pour découvrir des vulnérabilités critiques dans l’infrastructure numérique des gouvernements ukrainien et russe, dans le but de renforcer les défenses de l’Ukraine. Les pirates ont déclaré qu’ils craignaient que le plan puisse potentiellement aggraver le conflit.
Dans d’autres actualités, Gestionnaire de mots de passe 1Mot de passe a augmenté sa prime de bug bounty maximale à 1 million de dollars – l’un des plus gros paiements potentiels de l’industrie. Il indique que les problèmes de logique sont susceptibles de rapporter les plus grandes récompenses, et qu’un chercheur a réussi à réclamer près de la moitié du total des paiements à ce jour en recherchant des problèmes comme celui-ci.
Il y a eu une deuxième bouchée de cerise ce mois-ci pour le chercheur en sécurité Youssef Sammouda – l’année dernière, il a rapporté 126 000 $ pour avoir découvert trois failles dans FacebookLa technologie Canvas de , utilisée pour intégrer des jeux en ligne et des applications interactives dans sa plate-forme. Sammouda a maintenant gagné 98 000 $ supplémentaires pour avoir révélé des problèmes avec la tentative initiale de Facebook de résoudre le problème.
Et enfin, Chrome Les développeurs ont corrigé une implémentation inappropriée dans l’analyseur HTML qui a été découverte par Michał Bentkowski, un testeur d’intrusion pour la société polonaise de cybersécurité Securitum. Le bogue de gravité moyenne signifiait que les sites Web considérés comme protégés par XSS auraient pu être involontairement exposés à des attaques XSS dans les sessions Chrome.
Les derniers programmes de primes de bugs pour avril 2022
Le mois dernier a vu l’arrivée de plusieurs nouveaux programmes de primes de bugs. Voici une liste des dernières entrées :
1Mot de passe
Fournisseur de programme : Foule d’insectes
Type de programme : Public
Récompense maximale : 1 million de dollars
Contour: Le gestionnaire de mots de passe 1Password demande aux chercheurs en sécurité de rechercher des vulnérabilités dans trois de ses domaines Web.
Remarques: Le chiffre de 1 million de dollars est la récompense maximale pour un défi de capture du drapeau, qui fait partie du programme de primes aux bogues. La récompense la plus élevée pour les vulnérabilités uniques est de 30 000 $.
Vérifiez Page de prime de bogue 1Password à Bugcrowd pour plus de détails
BitForex
Fournisseur de programme : HackenPreuve
Type de programme : Privé
Récompense maximale : 15 000 $
Contour: L’échange de crypto-monnaie BitForex recherche des vulnérabilités de sécurité dans ses produits Web et iOS.
Remarques: La liste des cibles hors de portée est longue pour ses applications Web et mobiles, alors jetez-y un coup d’œil avant de commencer toute chasse aux bogues.
Vérifiez Page de prime de bogue BitForex à HackenProof pour plus de détails
CoinDCX – mis à jour
Fournisseur de programme : Foule d’insectes
Type de programme : Public
Récompense maximale : 2 500 $
Contour: CoinDCX offre des récompenses pour les problèmes de sécurité rencontrés dans ses applications Web et mobiles et son API.
Remarques: CoinDCX demande aux chercheurs de se concentrer sur trois domaines : accéder aux informations personnelles ou financières d’un autre compte, accéder aux portefeuilles d’autres utilisateurs et retirer des fonds en tant que sous-compte.
Vérifiez Page de prime de bogue CoinDCX à Bugcrowd pour plus de détails
Kraden
Fournisseur de programme : HackerOne
Type de programme : Public
Récompense maximale : 3 000 $
Contour: Kraden est une application de messagerie sécurisée de Dragon. Il recherche des vulnérabilités dans un certain nombre de domaines et son APK Android.
Remarques: Le domaine du blog est hors de portée, les chercheurs doivent donc éviter cet atout.
Vérifiez Page de prime de bogue de Kraden à HackerOne pour plus de détails
Palantir
Fournisseur de programmes : HackerOne
Type de programme : Public
Récompense maximale : 10 000 $
Contour: La société d’analyse de données volumineuses Palantir a lancé un programme visant à détecter les vulnérabilités de ses interfaces publiques et de ses ressources de cloud public, notamment les infrastructures AWS et Microsoft Azure.
Remarques: Palantir a basé son score de gravité sur les scores CVSS, mais dit qu’il se réserve le droit d’ajuster cela au cas par cas.
Vérifiez Page de prime de bogue de Palantir à HackerOne pour plus de détails
SMTP2GO
Fournisseur de programmes : HackerOne
Type de programme : Privé
Récompense maximale : 2 000 $
Contour: SMTP2GO est un fournisseur de services de messagerie évolutif permettant d’envoyer des e-mails transactionnels et marketing et d’afficher des rapports sur la livraison des e-mails. Il demande aux chercheurs de rechercher des vulnérabilités dans trois de ses domaines.
Remarques: Comme il s’agit d’un programme privé, la participation se fait uniquement sur invitation.
Vérifiez Page de prime de bogue SMTP2GO à HackerOne pour plus de détails
Prise
Fournisseur de programmes : Indépendant
Type de programme : Public
Récompense maximale : 1 000 $
Contour: Conçu pour sécuriser la chaîne d’approvisionnement JavaScript, Socket « utilise l’inspection approfondie des paquets pour décortiquer les couches d’une dépendance afin de caractériser son comportement réel », selon ses architectes.
Remarques: Dans la portée sont socket.dev et socketusercontent.com et tous les sous-domaines qu’ils contiennent.
Vérifiez Page de la prime aux bogues de Socket pour plus de détails
Telenor Suède
Fournisseur de programme : YesWeHack
Type de programme : Public
Récompense maximale : 4 000 $
Contour: Le fournisseur de télécommunications suédois Telenor Sweden a lancé un nouveau programme avec la plateforme européenne de primes aux bogues.
Remarques: L’exécution de code à distance semble être la cible principale de l’entreprise, avec une liste de directives dédiées à cette seule attaque.
Vérifiez Page de prime de bogue de Telenor Suède sur YesWeHack pour plus de détails
Banque de la République commerciale
Fournisseur de programme : HackerOne
Type de programme : Public
Récompense maximale : 8 500 $
Contour: Trade Republic Bank est un fournisseur de services financiers qui aide à investir dans des actions, des ETF, des produits dérivés et des crypto-monnaies.
Remarques: Il existe une longue liste d’attaques hors de portée, qu’il vaut la peine de vérifier au préalable.
Vérifiez Page de prime de bogue de la Trade Republic Bank à HackerOne pour plus de détails
Autres bug bounty et actualités VDP ce mois-ci
- Les Etats Unis département de la DéfenseLe rapport annuel du Vulnerability Disclosure Program (VDP) est désormais disponible pour Télécharger. Le programme a vu la divulgation de près de 12 000 nouvelles vulnérabilités en 2021.
- Fiche d’évaluation de la sécurité, La compagnie Walt Disneyet Cercle ont lancé des VDP non rémunérés sur HackerOne.
- La Commission européenne invite les hackers à S’inscrire pour le NextGov Hackathonqui a lieu du 25 avril au 10 mai.
- Bugcrowd héberge un nouveau VDP de Sigma.
- HackerOne a supprimé Kaspersky de sa plate-forme de primes de bogues au milieu de la guerre en cours en Ukraine. Dans un tweet le mois dernier, le fournisseur russe d’antivirus a déclaré que les vulnérabilités pouvaient être signalées via son site Web.
ÉDITION PRÉCÉDENTE Radar Bug Bounty // Mars 2022
