Les chasseurs de Bug Bounty qui aimeraient un peu plus de prévisibilité financière dans leur vie ont eu cette option ce mois-ci, avec un nouveau programme de Intigriti offrant un paiement à l’heure.
Une combinaison de modèles de chasse aux bogues et de tests de pénétration, il y aura un paiement pour le nombre d’heures qu’un participant passe à rechercher des vulnérabilités, ainsi qu’une récompense plafonnée pour les bogues individuels. Dans un pilote de pré-lancement, les pirates ont collectivement gagné plus de 100 000 € (106 000 $).
Dans les nouvelles sur les paiements, un pirate informatique qui s’appelle « Stealthy » a rapporté 36 000 $ en primes de bogues après avoir découvert des vulnérabilités critiques de contrebande de requêtes HTTP affectant trois des Pommeles principales applications Web de .
Les attaques d’empoisonnement de file d’attente ont permis la divulgation de données et la prise de contrôle de compte sans aucune interaction de l’utilisateur requise, a expliqué Stealth. Les bogues affectaient les serveurs de business.apple.com, school.apple.com et mapsconnect.apple.com.
Deux concours de piratage plus tôt ce mois-ci ont également vu les chercheurs gagner une récolte exceptionnelle de récompenses.
Il y a eu des paiements totalisant 400 000 $ lors de la deuxième édition de Pwn2Own Miami pour des dizaines d’exploits jusqu’alors inconnus ciblant des systèmes de contrôle industriels, par exemple.
Daan Keuper et Thijs Alkemade ont été couronnés Masters of Pwn avec 90 points et 90 000 $ accumulés pour leur équipe, tandis que des récompenses ont été accordées pour des vulnérabilités zero-day jusque-là inconnues dans les plates-formes de contrôle industrielles.
Pendant ce temps, ‘Hack Me I’m Famous’, un hackathon nocturne organisé par la plateforme de bug bounty YesWeHacka vu 40 chasseurs de bug bounty s’affronter pour trouver des vulnérabilités dans des scale-up ou start-up françaises valorisées à plus d’un milliard de dollars.
Sur 109 rapports de vulnérabilité, 30 % ont été classés comme des bogues de gravité élevée ou critique, un chercheur ayant reçu le paiement maximum de 10 000 €.
Et enfin, une vulnérabilité de contrôle d’accès dans la plate-forme de planification open source Facile! Rendez-vous a été trouvé pour donner aux attaquants non authentifiés un accès facile aux informations personnellement identifiables. Une API non protégée pourrait exposer les noms, les lieux et les heures des réservations effectuées à l’aide de l’application.
La découverte a valu à Francesco Carlucci, fondateur de la plate-forme de notification de vulnérabilité OpenCIRT, une « petite » récompense.
Les derniers programmes de primes de bugs pour mai 2022
Le mois dernier a vu l’arrivée de plusieurs nouveaux programmes de primes de bugs. Voici une liste des dernières entrées :
AEX
Fournisseur de programme :
HackenPreuve
Type de programme :
Public
Récompense maximale :
5 000 $
Contour:
Échange d’actifs numériques AEX cherche à trouver des bogues critiques dans ses cibles Web, mobiles et API.
Remarques:
Il existe une longue liste de cibles hors de portée qui doivent être évitées. Comme toujours, cela vaut la peine d’y jeter un coup d’œil avant de commencer à chasser.
Vérifiez Page de prime de bogue AEX à HackenProof pour plus de détails
Systèmes américains
Fournisseur de programme :
HackerOne
Type de programme :
Public
Récompense maximale :
3 000 $
Contour:
La société de services de conseil en gestion American Systems a déclaré qu’elle « se réjouit de travailler avec la communauté de la sécurité pour trouver des vulnérabilités afin d’assurer la sécurité de nos entreprises et de nos clients ».
Remarques:
Les récompenses sont basées sur la gravité par CVSS. Cependant, la société a déclaré qu’il s’agissait de « directives générales et que les décisions de récompense sont à la discrétion d’American Systems ».
Vérifiez Page de prime de bogue d’American Systems à HackerOne pour plus de détails
ExpressVPN – amélioré
Fournisseur de programme :
Foule d’insectes
Type de programme :
Public
Récompense maximale :
100 000 $
Contour:
ExpressVPN a augmenté sa meilleure récompense – qui est maintenant 10 fois plus élevée que la prime la plus élevée précédente – avec 10 000 $ maintenant offerts pour les failles critiques valides découvertes dans TrustedServer d’ExpressVPN.
Remarques:
ExpressVPN a construit TrustedServer pour atténuer les risques posés par la gestion traditionnelle des serveurs et la prime de bogue élevée complète un audit de sécurité indépendant par PwC.
Lire le lien Communiqué de presse ExpressVPN pour plus de détails
IdOtex
Fournisseur de programme :
HackenPreuve
Type de programme :
Public
Récompense maximale :
15 000 $
Contour:
IoTeX est « le principal réseau décentralisé qui alimente l’avenir du web3 et de l’économie des machines (MachineFi) ». Il demande aux chercheurs de trouver des vulnérabilités dans ses domaines Web, ses applications mobiles et ses API.
Remarques:
Les trois principales vulnérabilités concernées sont les problèmes de logique métier, la manipulation des paiements et l’exécution de code à distance.
Vérifiez Page de prime de bogue IoTex à HackenProof pour plus de détails
KAYAK
Fournisseur de programme :
HackerOne
Type de programme :
Public
Récompense maximale :
5 000 $
Contour:
La société de voyages KAYAK demande des rapports liés aux vulnérabilités de son site Web, ainsi qu’à un certain nombre de ses filiales.
Remarques:
Toutes les filiales de KAYAK ne sont pas concernées, alors assurez-vous de confirmer avant de pirater.
Vérifiez Page de prime de bug KAYAK à HackerOne pour plus de détails
Mastadon – amélioré
Fournisseur de programme :
Intigriti
Type de programme :
Public
Récompense maximale :
20 000 €
Contour:
Mastodon a augmenté sa prime de paiement maximale à 20 000 €.
Remarques:
La plateforme de primes aux bogues a annoncé sur Twitter que le premier hacker à réclamer la nouvelle récompense maximale recevra également un package swag. Ne marchez pas, courez !
Vérifiez Page de prime de bogue Mastodon à Intigriti pour plus de détails
SHEIN
Fournisseur de programme :
HackerOne
Type de programme :
Public
Récompense maximale :
2 000 $
Contour:
Le détaillant de mode rapide SHEIN a lancé un programme de primes de bugs qui comprend des cibles liées à sa société sœur Romwe.
Remarques:
Ce programme fait suite à un programme limité couronné de succès l’année dernière.
Vérifiez Page de prime de bogue SHEIN à HackerOne pour plus de détails
Si rare
Fournisseur de programme :
HackerOne
Type de programme :
Public
Récompense maximale :
10 000 $
Contour:
Sorare est un jeu de football fantastique mondial où les managers peuvent échanger des objets de collection numériques officiels.
Remarques:
Trois actifs sont concernés : Sorare.com plus l’API et le domaine WebSocket de Sorare.
Vérifiez Page de prime de bogue de Sorare à HackerOne pour plus de détails
Autres bug bounty et actualités VDP ce mois-ci
- Pfizer a lancé un programme de divulgation des vulnérabilités avec HackerOne, car la recherche de « problèmes potentiels nous aide à garantir la sécurité et la confidentialité des clients et des données ».
- Vous aimez le swag ? Qui ne le fait pas ! Intigriti a distribué des sacs de cadeaux mensuels sur Twitter – vois ici.
