Google a donné une tape dans le dos aux fournisseurs ce mois-ci, avec la nouvelle que les vulnérabilités de sécurité signalées par son projet Zero en 2021 ont été corrigées 28 jours plus rapidement en moyenne qu’en 2019.

Un seul bogue a dépassé son délai de correction de 90 jours, les fournisseurs de matériel et de logiciels prenant en moyenne 52 jours pour corriger les failles de sécurité. La société estime que nous avons des politiques de divulgation responsables à remercier.

Dans nouvelles de paiement ce mois-ci, le chercheur en sécurité Sriram Kesavan de TG Cyberlabs a rapporté 3 133 $ pour sa découverte que la fonction de désabonnement de Google Groups pouvait être utilisée de manière abusive pour expulser des membres à leur insu ou sans leur consentement. « J’aurais pu littéralement supprimer des employés de Google sur plusieurs groupes officiels, même si je n’y ai pas accès », a-t-il déclaré. La gorgée quotidienne.

Et il y avait une énorme prime de 250 000 $ pour l’ingénieur en sécurité pseudonyme « Tree of Alpha », qui a trouvé une vulnérabilité dans Coinbase qui permettent aux utilisateurs de « vendre » des devises qu’ils ne possèdent pas.

Une vérification de validation logique manquante dans un point de terminaison de l’API Retail Brokerage a permis à un utilisateur de soumettre des transactions à un carnet de commandes spécifique à l’aide d’un compte source incompatible, permettant potentiellement à un attaquant de voler une crypto-monnaie illimitée.

Pendant ce temps à Nouvelle-Zélande, le Government Communications Security Bureau (GCSB) a appelé les agences gouvernementales à introduire des politiques de divulgation des vulnérabilités (VDP). Les chercheurs peuvent signaler les bogues sans blâme, même si, malheureusement, aucune prime de bogue n’est proposée.

Et enfin, PortSwigger Web Security a publié son rapport annuel Top 10 des techniques de piratage Web. Les attaques de confusion de dépendance figuraient en tête de liste, le chercheur Alex Birsan utilisant cette technique pour accéder à Apple, Microsoft et d’autres sociétés de premier plan.

Ensuite, les recherches de James Kettle de PortSwigger ont montré que de nombreux sites mis à niveau vers HTTP/2 étaient toujours vulnérables aux attaques de contrebande car ils réécrivaient les requêtes afin de parler au serveur principal.


Les derniers programmes de primes de bugs pour mars 2022

Le mois dernier a vu l’arrivée de plusieurs nouveaux programmes de primes de bugs. Voici une liste des dernières entrées :

Cardano – amélioré

Fournisseur de programme :
HackerOne

Type de programme :
Prime de bogue publique

Récompense maximale :
20 000 $

Contour:
Cardano est une plateforme de blockchain publique, fondée en 2015. Dans le cadre d’une promotion de six semaines, la Fondation Cardano propose de doubler ses paiements de primes de bogue aux chercheurs.

Remarques:
Les chasseurs de primes de bogues qui découvrent des vulnérabilités critiques dans le Cardano Node peuvent gagner des récompenses allant jusqu’à 20 000 $, à partir du 14 février. Les vulnérabilités critiques impliquant le portefeuille Cardano pourraient rapporter jusqu’à 15 000 $.

Découvrez le Cardan page de prime de bogue à HackerOne pour plus de détails

Cloudflare – amélioré

Fournisseur de programme :
HackerOne

Type de programme :
Prime de bogue publique

Récompense maximale :
3 000 $

Contour:
CloudFlare, le réseau de diffusion de contenu et le fournisseur de technologies d’atténuation des attaques DDoS, a rendu public son programme de primes de bogues sur invitation uniquement, comme indiqué précédemment.

Remarques:
Avant de devenir public, Cloudflare et son fournisseur de primes de bogues ont affiné la documentation et les conseils afin d’améliorer la qualité des rapports et de minimiser les fausses alarmes – un problème particulier dans les premières étapes du programme sur invitation uniquement de Cloudflare.

Découvrez Cloudflare page de prime de bogue sur HackerOne pour plus de détails

Coinstore

Fournisseur de programme :
HackenPreuve

Type de programme :
Prime de bogue publique

Récompense maximale :
10 000 $

Contour:
Coinstore se décrit comme une « arcade financière » pour la crypto-monnaie. Les vulnérabilités de son site Web, de son API et de ses applications mobiles sont toutes à la portée de son programme de primes de bogues récemment introduit.

Remarques:
La manipulation des paiements, les problèmes de logique métier et un large éventail de problèmes de sécurité Web sont également concernés.

Découvrez le coinstore page de prime de bogue à HackenProof pour plus de détails

Databrick

Fournisseur de programme :
HackerOne

Type de programme :
Prime de bogue publique

Récompense maximale :
5 000 $

Contour:
Databricks commercialise une plate-forme d’entreposage de données basée sur le cloud pour les entreprises clientes. Les récompenses du fournisseur sont basées sur la gravité telle qu’évaluée par CVSS.

En tant qu’environnement d’exécution de code à distance, les vulnérabilités RCE sont en général hors du champ d’application du programme, sauf dans les cas où elles violent les garanties de sécurité offertes par la plate-forme.

Remarques:
Databricks souhaite obtenir des informations sur de nombreuses autres classes courantes de vulnérabilités de sécurité Web, y compris l’escalade de privilèges et les bogues de référence directe d’objet (IDOR) non sécurisés, ainsi que les problèmes de contrôle d’accès.

Découvrez les Databrick page de prime de bogue à HackerOne pour plus de détails

ExpressVPN – amélioré

Fournisseur de programme :
Foule d’insectes

Type de programme :
Prime de bogue publique

Récompense maximale :
10 000 $

Contour:
Le fournisseur de technologie de réseau privé virtuel (VPN) ExpressVPN a augmenté ses incitations pour les chercheurs en sécurité. Des récompenses sont proposées aux chercheurs en sécurité capables de démontrer « un accès non autorisé, une exécution de code à distance, une fuite d’adresse IP ou la capacité de surveiller le trafic utilisateur non chiffré (non chiffré par VPN) ».

Remarques:
Les paiements par vulnérabilité validée proposée vont de 150 $ à 2 500 $ par bogue, selon la gravité de la faille démontrée. La première personne à démontrer une vulnérabilité valide aura le droit de réclamer un bonus de 100 000 $.

Découvrez ExpressVPN page de prime de bogue sur Bugcrowd pour plus d’informations

Intel – amélioré

Fournisseur de programme :
intrigrit

Type de programme :
Prime de bogue publique

Récompense maximale :
100 000 $

Contour:
Intel a amélioré son programme de primes de bugs établi avec « Project Circuit Breaker ».

Remarques:
Les vulnérabilités dans « les micrologiciels, les hyperviseurs, les GPU, les chipsets, etc. » sont dans le champ d’application.

Découvrez l’Intel page de prime de bogue à intigriti pour plus d’informations

Kiteworks

Fournisseur de programme :
Foule d’insectes

Type de programme :
Prime de bogue publique

Récompense maximale :
50 000 $

Remarques:
Kiteworks – le fournisseur de technologie d’entreprise anciennement connu sous le nom d’Accellion – propose une technologie de partage de fichiers et de collaboration aux entreprises.

Les paiements les plus élevés dans le cadre du nouveau programme de primes de bogues de la société iront aux chercheurs qui découvrent l’exécution de code à distance et l’escalade des privilèges vers les vulnérabilités root/admin. Cependant, les vulnérabilités moindres seront éligibles à des paiements inférieurs sur une échelle mobile jusqu’à 250 $.

Découvrez les Kiteworks page de prime de bogue sur Bugcrowd pour plus d’informations

Lachain.io

Fournisseur de programme :
HackenPreuve

Type de programme :
Prime de bogue publique

Récompense maximale :
1 500 $

Contour:
Le fournisseur de technologies financières décentralisées Lachain.io a ouvert un nouveau programme de primes de bogues. Les vulnérabilités concernées incluent la manipulation des paiements, les problèmes de logique métier et un large éventail de vulnérabilités de sécurité Web.

Remarques:
Des récompenses sont proposées pour les failles découvertes d’injection SQL, d’exécution de code à distance ou de falsification de requête côté serveur (SSRF), entre autres.

Découvrez le Lachain.io page de prime de bogue sur HackenProof pour plus d’informations

MakerDAO – amélioré

Fournisseur de programme :
Immunitaire

Type de programme :
Prime de bogue publique

Récompense maximale :
10 000 000 $

Contour:
La société de crypto-monnaie MakerDAO a lancé un programme de primes de bogues qui offre des paiements maximum de 10 millions de dollars, comme indiqué précédemment par La gorgée quotidienne.

Remarques:
Les vulnérabilités de sa technologie de contrats intelligents sont susceptibles de gagner la plus grande récompense, mais les bogues du site Web et des applications de Maker DAO sont également concernés.

Découvrez le MakerDAO page de prime de bogue chez Immunefi pour plus d’informations

Pandora (contrat intelligent et Web)

Fournisseur de programme :
HackenPreuve

Type de programme :
Prime de bogue publique

Récompense maximale :
50 000 $ (contrat intelligent), 8 000 $ (web)

Contour:
Le fournisseur de technologies financières décentralisées Pandora a lancé deux programmes de primes de bogues connexes qui couvrent respectivement son infrastructure Web et sa technologie de contrats intelligents.

Remarques:
Pandora Web est considéré comme un « écosystème décentralisé de nouvelle génération qui vise à redéfinir et à perturber la finance décentralisée via AMM, NFT et GameFi ».

Vérifiez Web de Pandore et Contrats intelligents Pandora pages bug bounty sur HackenProof pour plus d’informations


Autres bug bounty et actualités VDP ce mois-ci

  • Intigriti organisera une conférence virtuelle gratuite sur la prime aux bogues le 12 mars. conférence mettra en vedette 10 conférenciers et un concours de capture du drapeau de 24 heures.
  • Plateforme européenne de bug bounty YesWeHack poursuit sa forte trajectoire de croissance, avec des revenus annuels plus que doublé mondiale au cours des 12 derniers mois. Plus de 35 000 hackers opèrent désormais sur la plateforme.
  • UPS, Alohiet Défendable ont lancé des programmes de divulgation de vulnérabilité (VDP) non rémunérés sur HackerOne.
  • Le Centre de réponse de sécurité Microsoft élargit son programme de reconnaissance des chercheurs, l’entreprise faisant améliorations à son classement des chercheurs et aux lignes directrices du programme pour les pirates.
  • HackenPreuve a lancé ‘Hacken Cyber ​​Armée‘, qui vise à aider les citoyens de l’Ukraine pendant le conflit qui se déroule sur son sol.