Le ministère américain de la Justice (DoJ) a déclaré qu’il ne poursuivrait pas les chercheurs en sécurité agissant « de bonne foi », dans le cadre des changements apportés au Loi sur la fraude et les abus informatiques (CFAA). Bien que le DoJ affirme que cela a toujours été le cas dans la pratique, les changements offrent plus de certitude aux chercheurs, aux testeurs de plumes et aux chasseurs de primes de bogues.

Pendant ce temps, le gouvernement britannique reste timide à propos des programmes de primes de bogues, le Dr Ian Levy, directeur technique du National Cyber ​​​​Security Center (NCSC) du Royaume-Uni, affirmant qu’il n’est pas prévu de les déployer à grande échelle de si tôt. S’exprimant lors de la conférence CyberUK, il a commenté : « La raison en est que nous ne semblons tout simplement pas en avoir besoin – les gens sont plus qu’heureux de venir dire au gouvernement que nous avons merdé. »

LinkedIn, quant à lui, a lancé un programme public de primes de bogues avec des récompenses allant jusqu’à 18 000 $ qui remplace son programme sur invitation uniquement. Hébergé par HackerOne, LinkedIn invite les pirates à sonder son principal domaine Web, LinkedIn.com, à la recherche de failles de sécurité, ainsi que l’API LinkedIn et les applications mobiles Android et iOS.

Le pont Blockchain Wormhole a remis une récompense record de 10 millions de dollars à un chasseur de bogues avec le pseudonyme en ligne ‘satya0x’. Si elle avait été exploitée avec succès, la vulnérabilité critique qui a attiré la récompense aurait pu voir tous les fonds résidant dans le contrat de pont de base Wormhole sur Ethereum perdus à jamais.

Dans d’autres nouvelles de paiement, Youssef Sammouda a rapporté 44 625 $ pour avoir découvert une série de bogues qui auraient pu permettre à un acteur malveillant de prendre le relais. Facebook comptes. Ils comprenaient un bogue de falsification de requête intersite (CSRF) permettant à un attaquant de forcer une victime à se déconnecter de son compte Facebook dans son navigateur, et une faille forçant une connexion au compte Facebook de l’attaquant dans le navigateur de la victime.

Pwn2Own Vancouver, le concours de piratage phare, a eu lieu le mois dernier, distribuant plus d’un million de dollars pour des bogues dans des produits de Microsoft, Mozilla, Apple et autres. Les participants ont découvert 27 vulnérabilités de qualification au total, avec une équipe de Star Labs à Singapour couronnée Masters of Pwn de cette année.

Et enfin, Vidoc Security Lab a publié un avertissement de sécurité concernant plus de 60 instances d’une faille de sécurité Web dans le Swagger-UI bibliothèque, ce qui pourrait entraîner une prise de contrôle de compte. Les programmes Bug Bounty exploités par PayPal, Shopify, Atlassian, Microsoft, GitLab et Yahoo ont été alertés, entre autres.


Les derniers programmes de primes de bugs pour juin 2022

Le mois dernier a vu l’arrivée de plusieurs nouveaux programmes de primes de bugs. Voici une liste des dernières entrées :

Réseau aztèque

Fournisseur de programme :
Immunitaire

Type de programme :
Public

Récompense maximale :
1 million de dollars

Présenter:
Un rollup récursif et sans connaissance basé sur la confidentialité construit sur Ethereum qui prétend être le « seul zkRollup construit à partir de zéro pour préserver la confidentialité ».

Remarques:
Les primes proposées peuvent atteindre 1 million de dollars, dont 25 000 dollars pour les problèmes de gravité élevée et 5 000 dollars pour les bogues de gravité moyenne.

Découvrez le réseau aztèque page de prime de bogue chez Immunefi pour plus de détails

Balancier

Fournisseur de programme :
Immunitaire

Type de programme :
Public

Récompense maximale :
2,4 millions de dollars

Présenter:
« Protocole communautaire, fournisseur de liquidités et capteur de prix qui permet l’échange décentralisé et la gestion automatisée du portefeuille de jetons sur la blockchain Ethereum et d’autres systèmes compatibles EVM. »

Remarques:
Les paiements dans Ethereum pourraient atteindre 2,4 millions de dollars, tandis que les vulnérabilités de haute gravité peuvent entraîner des récompenses allant jusqu’à 600 000 dollars.

Découvrez l’équilibreur page de prime de bogue chez Immunefi pour plus de détails

Chaîne

Fournisseur de programme :
Immunitaire

Type de programme :
Public

Récompense maximale :
5 millions de dollars

Présenter:
Des paiements alléchants dans les millions proposés par Chain, qui construit «des registres cryptographiques qui sous-tendent des produits et services financiers révolutionnaires».

Remarques:
Les paiements sont émis en USDC, XCN, USDT et ETH, le ratio étant à la discrétion de Chain.

Découvrez la chaîne page de prime de bogue chez Immunefi pour plus de détails

Réseau Cudos

Fournisseur de programme :
Foule d’insectes

Type de programme :
Public

Récompense maximale :
4 500 $

Présenter:
Une plate-forme décentralisée qui s’exécute sur plusieurs nœuds p2p et permet aux développeurs de créer des fonctionnalités complexes de contrats intelligents.

Remarques:
Récompenses de premier niveau accordées pour les exploits cryptographiques permettant la manipulation du consensus BFT, tandis que certains exploits DDoS sont qualifiés de niveau deux.

Découvrez le réseau Cudos page de prime de bogue à Bugcrowd pour plus de détails

Doctolib

Fournisseur de programme :
YesWeHack

Type de programme :
Public

Récompense maximale :
20 000 €

Présenter:
Doctolib développe un logiciel de prise de rendez-vous utilisé par plus de 300 000 personnels soignants et 60 millions de patients à travers l’Europe.

Remarques:
Les problèmes de gravité élevée commandent des récompenses allant jusqu’à 4 000 € et les bogues critiques rapporteront aux pirates jusqu’à 20 000 €, avec deux domaines Web et des applications iOS et Android en jeu.

Consulter le Doctolib page de prime de bogue sur YesWeHack pour plus de détails

Gojek

Fournisseur de programme :
HackerOne

Type de programme :
Public

Récompense maximale :
5 000 $

Présenter:
Gojek est un groupe indonésien de plateformes multiservices et de technologie de paiement numérique à la demande.

Remarques:
Prime maximale de 5 000 $ offerte pour les actifs de niveau 1 et de 2 000 $ pour les actifs de niveau 2.

Découvrez le Gojek page de prime de bogue à HackerOne pour plus de détails

LinkedIn

Fournisseur de programmes :
HackerOne

Type de programme :
Public

Récompense maximale :
15 000 $

Présenter:
LinkedIn a lancé un programme public de primes de bogues pour remplacer le programme sur invitation uniquement en cours depuis 2014, comme indiqué précédemment par La gorgée quotidienne.

Remarques:
Les vulnérabilités de sécurité critiques découvertes sur la plate-forme de médias sociaux axée sur les entreprises rapporteront aux chercheurs des primes allant de 5 000 $ à 15 000 $.

Lisez notre couverture précédente pour en savoir plus

Razorpay

Fournisseur de programme :
HackerOne

Type de programme :
Public

Récompense maximale :
3 000 $

Présenter:
Razorpay prétend être la seule solution de paiement en Inde qui permet aux entreprises d’accepter, de traiter et de verser des paiements.

Remarques:
Les failles critiques entraîneront des primes comprises entre 1 000 $ et 3 000 $, avec quatre cibles dans le champ d’application comprenant les domaines du tableau de bord, de l’API, de la caisse et de la facture.

Découvrez le Razorpay page de prime de bogue à HackerOne pour plus de détails

Ministère de la Cybersécurité et du Numérique du Québec

Fournisseur de programmes :
YesWeHack

Type de programme :
Public

Récompense maximale :
1 500 $CAN

Présenter:
Le ministère de la Cybersécurité et du Numérique a lancé son programme, avec des détails écrits en français, sur la plateforme parisienne de primes aux bogues YesWeHack.

Remarques:
Le ministère a 12 actifs Web et offre un paiement maximum de 1 500 $CAN.

Consultez Le ministère de la Cybersécurité et du Numérique page de prime de bogue sur YesWeHack pour plus de détails

Wealthsimple

Fournisseur de programmes :
HackerOne

Type de programme :
Public

Récompense maximale :
20 000 $

Présenter:
Le service canadien de gestion de placements dispose d’outils financiers pour la négociation d’actions, les FNB, les placements gérés et la cryptographie.

Remarques:
Les bogues critiques peuvent attirer des récompenses de 20 000 $, tandis que les vulnérabilités de gravité élevée et moyenne pourraient rapporter respectivement 5 000 $ ou 1 000 $ aux chasseurs de bogues.

Découvrez Wealthsimple page de prime de bogue à HackerOne pour plus de détails


Autres bug bounty et actualités VDP ce mois-ci

  • Neuf autres nouveaux programmes dans un mois de mai exceptionnel pour Immunitaire inclus des programmes de la Protocole bancaire (récompense maximale de 900 000 $) plus Orque et Échange de wombats (les deux avec un paiement maximum de 500 000 $)
  • Nuageux et les chercheurs en sécurité d’Assetnote ont documenté la découverte et la correction de vulnérabilités dans les pages Cloudflare
  • YesWeHack lance un piratage éthique jeu de réalité virtuelle et tenir un live défi bug bounty au prochain Forum international sur la cybersécurité en juin
  • La Cyber-jeux américainsune collaboration NICE-NIST, entre dans sa deuxième saison en juillet, en commençant par les compétitions Capture the Flag (CTF) et culminant avec les meilleurs athlètes de cybersécurité représentant les États-Unis à l’échelle internationale
  • Quelque 401 failles de sécurité ont été corrigées au cours de la pilote de 12 mois de la Base industrielle de la défense américaine-Vulnerability Disclosure Program (DIB-VDP), qui s’est terminé en avril