LinkedIn a lancé un programme public de primes de bogues pour remplacer le programme sur invitation uniquement qui fonctionne depuis 2014.

Les vulnérabilités de sécurité critiques découvertes sur la plate-forme de médias sociaux orientée entreprise rapporteront aux chercheurs des primes allant de 5 000 $ à 15 000 $, tandis que les problèmes de gravité élevée entraîneront des récompenses comprises entre 2 500 $ et 5 000 $, et les failles de gravité moyenne rapporteront aux chasseurs de bogues entre 250 $ et 2 500 $.

Le programmequi est hébergé par HackerOne, invite les pirates à sonder le domaine Web principal, LinkedIn.com, à la recherche de failles de sécurité, ainsi que l’API LinkedIn ainsi que les applications mobiles Android et iOS.

Devenir public

La portée sur la plate-forme appartenant à Microsoft comprend les « problèmes de mise en œuvre et de conception qui ont un impact considérable sur les données des membres de LinkedIn ou sur l’infrastructure de LinkedIn », tels que les scripts intersites (XSS), la falsification de requêtes intersites (CSRF), l’injection SQL, l’authentification, l’accès contrôle et vulnérabilités d’exécution de code côté serveur.

« Notre équipe de sécurité s’efforce de fournir une expérience sûre et sécurisée à nos 830 millions de membres et clients en corrigeant rapidement les vulnérabilités de sécurité, en améliorant constamment nos défenses et en protégeant notre processus de développement de produits », a déclaré LinkedIn dans un communiqué. article de blog annonçant la nouvelle.

Le programme privé avait depuis son lancement « attribué plus de 250 000 dollars sur près de 500 soumissions couvrant la plateforme des membres LinkedIn et les applications mobiles », a-t-il ajouté.

« En raison du succès du programme, nous avons décidé de rendre le programme public et d’élargir la participation à toute personne souhaitant signaler des failles de sécurité potentielles. »

LinkedIn, qui connecte les professionnels entre eux et les opportunités d’emploi, a été à l’origine de deux énormes fuites de données en 2021, affectées 500 millions et 700 millions d’utilisateurs respectivement, mais ceux-ci ont été attribués au raclage de pages Web publiques plutôt qu’à des cyberattaques.

Cependant, la société de la Silicon Valley a été blâmée, à la fois par des experts en sécurité et des membres du Congrès américain, pour un piratage 2012 qu’il pensait initialement affecter 6,4 millions de mots de passe d’utilisateurs, mais en 2016, il s’est avéré qu’il comprenait des e-mails et des mots de passe appartenant à 117 millions d’utilisateurs.