Inilah Bug Bounty untuk April 2022, Ikut yang mana?

Dengan semua mata tertuju ke Ukraina bulan ini, HackerOne telah dipaksa untuk meminta maaf setelah pemburu hadiah bug di negara itu untuk sementara dikunci dari akun mereka, mencegah akses ke dana mereka.

Chief hacking officer dan CISO Chris Evans menyalahkan masalah keterlambatan dalam sistem pembayaran backend. Masalah terjadi setelah sanksi di wilayah tersebut, dengan HackerOne pertama kali menyarankan bahwa pembayaran kepada pemburu hadiah bug di Rusia dan Belarusia akan secara otomatis disumbangkan untuk amal. Itu kemudian mundur, mengatakan uang itu akan disimpan di akun mereka.

Sementara itu, kekhawatiran telah diajukan atas rencana oleh platform hadiah bug yang berbasis di Estonia, HackenProof untuk menggali kerentanan kritis dalam infrastruktur digital pemerintah Ukraina dan Rusia, dengan tujuan memperkuat pertahanan Ukraina. Peretas mengatakan mereka khawatir bahwa rencana tersebut berpotensi meningkatkan konflik.

Dalam berita lain, Pengelola kata sandi 1Password telah menaikkan hadiah hadiah bug maksimum menjadi $ 1 juta – salah satu pembayaran potensial terbesar di industri. Dikatakan bahwa masalah logika kemungkinan akan menghasilkan hadiah terbesar, dan bahwa seorang peneliti telah berhasil mengklaim hampir setengah dari total pembayaran hingga saat ini dengan mencari masalah seperti ini.

Ada gigitan kedua ceri bulan ini untuk peneliti keamanan Youssef Sammouda – tahun lalu, dia mendapatkan $126.000 karena menemukan tiga kelemahan dalam teknologi Canvas Facebook, yang digunakan untuk menyematkan game online dan aplikasi interaktif di platformnya. Sammouda kini telah memenangkan tambahan $98.000 untuk mengungkapkan masalah dengan upaya awal Facebook di fix.

Dan akhirnya, pengembang Chromium telah menambal implementasi yang tidak tepat dalam parser HTML yang ditemukan oleh Michał Bentkowski, penguji penetrasi untuk perusahaan keamanan siber Polandia Securitum. Bug tingkat menengah berarti bahwa situs web yang dianggap dilindungi XSS bisa saja secara tidak sengaja terkena serangan XSS di sesi Chrome.

Program hadiah bug terbaru untuk April 2022

Bulan lalu melihat kedatangan beberapa program hadiah bug baru. Berikut daftar entri terbaru:

1Password

Penyedia program: Bugcrowd

Jenis program: Public

Hadiah maks: $1 juta

Outline: Pengelola kata sandi 1Password meminta peneliti keamanan untuk menyelidiki kerentanan di tiga domain webnya. Hadiah maksimum $1 juta Catatan adalah $1 juta tangkap tantangan bendera, yang merupakan bagian dari program karunia bug. Hadiah tertinggi untuk satu kerentanan adalah $30.000.
Periksa halaman karunia bug 1Password di Bugcrowd untuk lebih jelasnya

BitForex

Penyedia program: HackenProof

Jenis program: Private

Hadiah maks: $15,000

Outline:Pertukaran mata uang kripto dan mata uang kripto Bit dalam daftar Bitp

mencari dalam pertukaran keamanannya. target di luar cakupan sangat luas untuk aplikasi web dan selulernya, jadi lihatlah sebelum memulai perburuan bug apa pun.
Periksa halaman karunia bug BitForex di HackenProof untuk detail lebih lanjut

CoinDCX – diperbarui

Penyedia program: Bugcrowd

Jenis program: Public

Hadiah maks: $2,500

Outline: CoinDCX menawarkan hadiah untuk masalah keamanan yang ditemukan di web dan aplikasi seluler dan API.

Catatan: CoinDCX meminta peneliti untuk fokus pada tiga bidang: mengakses informasi pribadi atau keuangan akun lain, mengakses dompet pengguna lain, dan menarik dana sebagai sebuah sub-ak ount.
Lihat halaman karunia bug CoinDCX di Bugcrowd untuk lebih jelasnya

Kraden

Penyedia program: HackerOne

Jenis program: Public

Hadiah maks: $3,000

Garis Besar: Kraden adalah aplikasi perpesanan aman dari Dragon. Ini mencari kerentanan di sejumlah domain dan APK Android-nya.

Catatan: Domain blog berada di luar cakupan, jadi peneliti harus menghindari aset ini.
Lihat halaman karunia bug Kraden di HackerOne untuk lebih jelasnya

Palantir

Penyedia program: HackerOne

Jenis program : Hadiah Public

Max: $10,000

Outline: Perusahaan analitik data besar Palantir telah meluncurkan program untuk menemukan kerentanan dalam antarmuka yang menghadap publik dan sumber daya cloud publik termasuk AWS dan infrastruktur Microsoft Azure.

Catatan: Palantir mendasarkan skor keparahannya pada skor CVSS, tetapi mengatakan itu menahan hak untuk menyesuaikan ini berdasarkan kasus per kasus.
Lihat halaman karunia bug Palantir di HackerOne untuk lebih jelasnya

SMTP2GO

Penyedia program: HackerOne

Jenis program: Private

Hadiah maks: $2.000

Outline: SMTP2GO adalah penyedia layanan email yang dapat diskalakan email pemasaran dan melihat laporan ts pada pengiriman email. Ini meminta peneliti untuk mencari kerentanan di tiga domainnya.

Catatan: Karena ini adalah program pribadi, partisipasi hanya berdasarkan undangan.
Lihat halaman karunia bug SMTP2GO di HackerOne untuk detail lebih lanjut

Socket

Penyedia program:

Independen Jenis program : Hadiah Public

Max: $1,000

Outline: Dirancang untuk mengamankan rantai pasokan JavaScript, Socket “menggunakan inspeksi paket mendalam untuk mengupas lapisan ketergantungan untuk mengkarakterisasi perilaku sebenarnya”, menurut arsiteknya.

Catatan: Dalam ruang lingkup adalah socket.dev dan socketusercontent.com dan semua subdomain di dalamnya.
Periksa halaman karunia bug Socket untuk lebih jelasnya

Telenor Sweden

Penyedia program: YesWeHack

Jenis program: Public

Hadiah maksimum: $4,000

Garis Besar: Penyedia telekomunikasi Swedia Telenor Swedia telah meluncurkan program baru dengan platform bug bounty Eropa eksekusi kode tampaknya menjadi m . perusahaan ain target, dengan daftar pedoman yang didedikasikan untuk serangan ini saja.
Lihat halaman karunia bug Telenor Sweden di YesWeHack untuk lebih jelasnya

Trade Republic Bank

Penyedia program: HackerOne

Jenis program: Public

Hadiah maks: $8,500

Outline: Trade Republic Bank yang membantu dengan berinvestasi di saham, ETF, derivatif, dan mata uang kripto.

Catatan: Ada daftar panjang serangan di luar jangkauan, yang perlu diperiksa sebelumnya.
Lihat halaman hadiah bug Trade Republic Bank di HackerOne untuk detail lebih lanjut

Bounty bug lainnya dan berita VDP bulan ini
Laporan Vulnerability Disclosure Program (VDP) tahunan Departemen Pertahanan AS sekarang tersedia untuk diunduh. Program ini memperlihatkan pengungkapan hampir 12.000 kerentanan baru pada tahun 2021.Security Scorecard, The Walt Disney Company, dan Circle telah meluncurkan VDP yang tidak dibayar di HackerOne. Komisi Eropa mengundang peretas untuk mendaftar ke NextGov Hackathon, yang berlangsung pada 25 April hingga 10 Mei.Bugcrowd menghosting VDP baru dari Sigma.HackerOne telah menghapus Kaspersky dari platform bug bounty-nya di tengah perang yang sedang berlangsung di Ukraina. Dalam tweet bulan lalu, vendor antivirus Rusia mengatakan bahwa kerentanan dapat dilaporkan melalui situs webnya. Pelaporan tambahan oleh Emma Woollacott.

EDISI SEBELUMNYA Bug Bounty Radar // Maret 2022

Referensi PortSwigger.com