Poniżej znajduje się lista programów nagród renomowanych firm
1) Intel
Program bounty Intela dotyczy głównie sprzętu, oprogramowania układowego i oprogramowania firmy.
Ograniczenia: nie obejmuje niedawnych przejęć, infrastruktury internetowej firmy, produktów innych firm ani niczego związanego z firmą McAfee.
Minimalna wypłata: Intel oferuje minimalną kwotę 500 USD za znalezienie błędów w swoim systemie.
Maksymalna wypłata: Firma płaci maksymalnie 30000 USD za wykrycie krytycznych błędów.
Bounty Link: https://security-center.intel.com/BugBountyProgram.aspx
2) Yahoo
Yahoo ma dedykowany zespół, który przyjmuje zgłoszenia luk w zabezpieczeniach od badaczy bezpieczeństwa i etycznych hakerów.
Ograniczenia: Firma nie oferuje żadnej nagrody za znajdowanie błędów na blogach prasowych Yahoo.net, Yahoo 7 Yahoo Japan, Onwander i Yahoo.
Minimalna wypłata: W Yahoo nie ma ustalonego limitu minimalnej wypłaty.
Maksymalna wypłata: Yahoo może zapłacić 15 000 USD za wykrycie ważnych błędów w ich systemie.
Link do nagrody: https://safety.yahoo.com/Security/REPORTING-ISSUES.html
3) Snapchat
Zespół ds. Bezpieczeństwa Snapchata przegląda wszystkie zgłoszenia luk w zabezpieczeniach i reaguje na nie poprzez odpowiedzialne ujawnianie. Firma, potwierdzimy Twoje zgłoszenie w ciągu 30 dni.
Minimalna wypłata: Snapchat zapłaci minimum 2000 $.
Maksymalna wypłata: maksymalna wypłata to 15 000 $.
Bounty Link: https://support.snapchat.com/en-US/i-need-help
4) Cisco
Firma Cisco zachęca osoby lub organizacje, które mają problem z bezpieczeństwem produktu, do zgłaszania ich firmie.
Minimalna wypłata: minimalna kwota wypłaty Cisco wynosi 100 USD.
Maksymalna wypłata: Firma przeznaczy maksymalnie 2500 USD na znalezienie poważnych luk w zabezpieczeniach.
Łącze do nagród: https://tools.cisco.com/security/center/resources/security_vulnerability_policy.html
5) Dropbox
Program nagród Dropbox umożliwia badaczom bezpieczeństwa zgłaszanie błędów i luk w usłudze HackerOne innej firmy.
Minimalna wypłata: Minimalna wypłacona kwota wynosi 12 167 USD.
Maksymalna wypłata: maksymalna oferowana kwota to 32768 USD.
Link do zlecenia: https://help.dropbox.com/accounts-billing/security/how-security-works
6) Jabłko
Kiedy Apple po raz pierwszy uruchomił swój program nagród za błędy, pozwolił tylko 24 badaczom bezpieczeństwa. Struktura została następnie rozszerzona, aby objąć więcej łowców nagród za błędy.
Firma zapłaci 100 000 dolarów tym, którzy mogą wydobyć dane chronione przez technologię Apple Secure Enclave.
Minimalna wypłata: nie ma ograniczonej kwoty ustalonej przez Apple Inc.
Maksymalna wypłata: najwyższa nagroda przyznana przez Apple wynosi 200 000 USD za problemy z bezpieczeństwem wpływające na jego oprogramowanie układowe.
Łącze do zleceń: https://support.apple.com/en-au/HT201220
7) Facebook
W ramach programu Facebook bounty program użytkownicy mogą zgłaszać problem z bezpieczeństwem na Facebooku, Instagramie, Atlas, WhatsApp itp.
Ograniczenia: istnieje kilka problemów związanych z bezpieczeństwem, które platforma społecznościowa uważa za poza zakresem.
Minimalna wypłata: Facebook zapłaci co najmniej 500 USD za ujawnioną lukę.
Maksymalna wypłata: Nie ma ustalonego przez Facebooka górnego limitu wypłaty.
Link do zlecenia: https://www.facebook.com/whitehat/
8) Google
Wszystkie treści w .google.com, .blogger, youtube.com są otwarte dla programu Google nagród za luki w zabezpieczeniach.
Ograniczenia: ten program nagród obejmuje tylko kwestie związane z projektowaniem i wdrażaniem.
Minimalna wypłata: Google zapłaci co najmniej 300 USD za znalezienie wątków bezpieczeństwa.
Maksymalna wypłata: Google zapłaci najwyższą kwotę 31,337 USD za zwykłe aplikacje Google.
Link do zlecenia: https://www.google.com/about/appsecurity/reward-program/
9) Quora
Quora oferuje program Bug Bounty wszystkim użytkownikom i badaczom, który umożliwia znajdowanie i zgłaszanie luk w zabezpieczeniach.
Minimalna wypłata: Quora zapłaci minimum 100 USD za znalezienie luk w swojej witrynie.
Maksymalna wypłata: Maksymalna wypłata oferowana przez tę witrynę wynosi 7000 $.
Bounty Link: https://engineering.quora.com/Security-Bug-Bounty-Program
10) Mozilla
Mozilla nagradza odkrycia luk w zabezpieczeniach przez etycznych hakerów i badaczy bezpieczeństwa.
Ograniczenia: Nagroda jest oferowana tylko za błędy w usługach Mozilli, takich jak Firefox, Thunderbird i inne powiązane aplikacje i usługi.
Minimalna wypłata: Minimalna kwota podana przez Firefoksa to 500 USD.
Maksymalna wypłata: Firma płaci maksymalnie 5000 USD.
Łącze do zleceń: https://www.mozilla.org/en-US/security/bug-bounty/
11) Microsoft
Obecny program Microsoft bug bounty został oficjalnie uruchomiony 23 września 2014 roku i dotyczy wyłącznie usług online.
Ograniczenia: Nagroda w postaci nagrody jest przyznawana tylko za krytyczne i ważne luki w zabezpieczeniach.
Minimalna wypłata: firma Microsoft jest gotowa zapłacić 15 000 USD za znalezienie krytycznych błędów.
Maksymalna wypłata: maksymalna kwota może wynosić 250 000 USD.
Łącze do zleceń: https://technet.microsoft.com/en-us/library/dn425036.aspx
12) OpenSSL
OpenSSL bounty umożliwia zgłaszanie luk za pomocą bezpiecznej poczty e-mail (klucza PGP). Możesz również zgłosić luki do Komitetu Zarządzającego OpenSSL.
Minimalna wypłata: Firma wypłaca minimalne nagrody bounty w wysokości 500 $.
Maksymalna wypłata: Najwyższa kwota podana przez firmę to 5000 USD.
Link do zlecenia: https://www.openssl.org/news/vulnerabilities.html
13) Vimeo
Vimeo z zadowoleniem przyjmuje zgłaszanie luk w zabezpieczeniach swoich produktów, ponieważ firma płaci tej osobie dobre wynagrodzenie.
Minimalna wypłata: Firma zapłaci minimum 500 USD
Maksymalna wypłata: Maksymalna kwota zapłacona przez tę firmę wynosi 5000 USD.
Link do zlecenia: https://vimeo.com/about/security
14) Apache
Apache zachęca etycznych hakerów do zgłaszania luk w zabezpieczeniach na jednej z ich prywatnych list mailingowych dotyczących bezpieczeństwa.
Minimalna wypłata: Minimalna kwota wypłaty podana przez Apache to 500 USD.
Maksymalna wypłata: ta firma może maksymalnie przyznać nagrodę w wysokości 3000 USD.
Łącze do zleceń: https://www.apache.org/security/
15) Twitter
Twitter umożliwia badaczom bezpieczeństwa i ekspertom informacje o możliwych lukach w zabezpieczeniach ich usług. Firma zachęca ludzi do znajdowania błędów.
Minimalna wypłata: Twitter płaci minimum 140 dolarów.
Maksymalna wypłata: maksymalna kwota do zapłaty przez firmę wynosi 15 000 USD.
Link do nagród: https://support.twitter.com/articles/477159
16) Avast
Program nagród Avast nagradza etycznych hakerów i badaczy bezpieczeństwa za zgłaszanie między innymi zdalnego wykonania kodu, lokalnej eskalacji uprawnień, DOS, obejścia skanera.
Minimalna wypłata: Avast może wypłacić minimalną kwotę 400 USD.
Maksymalna wypłata: maksymalna kwota oferowana przez firmę wynosi 10 000 USD.
Link do zlecenia: https://www.avast.com/bug-bounty
17) Paypal
Usługa bramki płatniczej Paypal oferuje również programy do wykrywania błędów dla badaczy bezpieczeństwa.
Ograniczenia:
Luki zależne od technik inżynierii społecznej, nagłówek hosta
Odmowa usługi (DOS), ładunek zdefiniowany przez użytkownika, fałszowanie treści bez wbudowanych linków / HTM i luki, które wymagają urządzenia mobilnego z jailbreakiem itp.
Minimalna wypłata: Paypal może zapłacić co najmniej 50 USD za znalezienie luk w zabezpieczeniach w ich systemie.
Maksymalna wypłata: Maksymalna kwota wypłaty podana przez Paypal to 10000 $.
Łącze do zleceń: https://hackerone.com/paypal
18) GitHub
GitHub prowadzi program wykrywania błędów od 2013 roku. Każdy uczestnik, który odniósł sukces, zdobywał punkty za zgłoszenie luk w zabezpieczeniach w zależności od wagi.
Ograniczenie: badacz bezpieczeństwa otrzyma nagrodę tylko wtedy, gdy szanuje dane użytkowników i nie wykorzysta żadnego problemu do wywołania ataku, który mógłby zaszkodzić integralności usług lub informacji GitHub.
Minimalna wypłata: Github płaci minimalną kwotę 200 $ za znajdowanie błędów.
Maksymalna wypłata: Github może zapłacić 10000 $ za znalezienie krytycznych błędów.
Łącze do zleceń: https://bounty.github.com/
19) Uber
Program nagród za luki w zabezpieczeniach Ubera skupiał się przede wszystkim na ochronie danych użytkowników i jego pracowników.
Minimalna wypłata: Nie ma z góry określonej kwoty minimalnej.
Maksymalna wypłata: Uber zapłaci Ci 10 000 USD za znalezienie krytycznych problemów z błędami.
Link do zlecenia: https://eng.uber.com/bug-bounty-map/
20) Magento
Program bounty Magneto umożliwia zgłaszanie luk w zabezpieczeniach oprogramowania lub witryn Magneto.
Ograniczenia:
Następujące badania bezpieczeństwa nie kwalifikują się do nagrody
- Potencjalna lub rzeczywista odmowa usługi aplikacji i systemów Magento.
- Wykorzystanie exploita do przeglądania danych bez autoryzacji.
- Automatyczne / skryptowe testowanie formularzy internetowych
Minimalna wypłata: Minimalna kwota wypłaty za ten program bounty wynosi 100 $.
Maksymalna wypłata: Magento płaci maksymalnie 10000 $ za znalezienie krytycznych błędów.
Bounty Link: https://magento.com/security
21) Perl
Perl uruchamia również programy do zgłaszania błędów. Jeśli ktoś znalazł lukę w zabezpieczeniach Perla, może skontaktować się z firmą.
Minimalna wypłata: Firma wypłaca minimalną kwotę 500 USD.
Maksymalna wypłata: Najwyższa kwota podana przez Perla to 1500 USD.
Link do nagrody : http://perldoc.perl.org/perlsec.html#SECURITY-VULNERABILITY-CONTACT-INFORMATION
22) PHP
PHP pozwala etycznym hakerom znaleźć błąd w ich witrynie.
Ograniczenia: Musisz sprawdzić listę już znalezionych błędów. Jeśli nie zastosujesz się do tej instrukcji, twój błąd nie zostanie uwzględniony.
Maksymalna wypłata: minimalna kwota wypłaty to 500 USD.
Minimalna wypłata: PHP przekazuje maksymalnie 1500 $ na wyszukiwanie ważnych błędów.
Link do zlecenia: https://bugs.php.net/report.php?bug_type=Security
23) Starbucks
Starbucks prowadzi program Bug Bounty, aby chronić swoich klientów. Zachęcają do znajdowania złośliwej aktywności w swoich sieciach, zasadach aplikacji internetowych i mobilnych.
Minimalna wypłata: minimalna kwota zapłacona przez Starbucks 100 USD.
Maksymalna wypłata: maksymalna kwota wzrasta do 4000 $.
Link do zlecenia: https://www.starbucks.com/whitehat
24) AT&T
AT&T ma również swój kanał polowania na błędy. Programiści i eksperci ds. Bezpieczeństwa mogą badać różne platformy, takie jak strony internetowe, interfejsy API i aplikacje mobilne.
Minimalna wypłata: minimalna kwota zapłacona przez nich wynosi 500 USD.
Maksymalna wypłata: Nie ma takiego górnego limitu wypłaty.
Link do zlecenia: https://bugbounty.att.com/
25) LinkedIn
LinkedIn zaprasza indywidualnych badaczy, którzy służą swoją wiedzą i czasem, aby znaleźć błędy.
Firma Cię wynagrodzi, ale ani minimalna, ani maksymalna kwota nie jest w tym celu rozwiązaniem.
Link do zlecenia: https://security.linkedin.com/posts/2015/private-bug-bounty-program
26) Paytm
Paytm zaprasza niezależne grupy bezpieczeństwa lub indywidualnych badaczy do studiowania go na wszystkich platformach
Ograniczenia:
- Raporty stwierdzające, że oprogramowanie jest nieaktualne / podatne na ataki bez „dowodu koncepcji”.
- Problemy z XSS, które dotyczą tylko przestarzałych przeglądarek.
- Stosuj ślady, które ujawniają informacje.
- Wszelkie problemy z oszustwami
Minimalna wypłata: Firma zapłaci minimum 15 USD za znalezienie błędów.
Maksymalna wypłata: ta firma nie ustala górnego limitu.
Link do zlecenia: https://paytm.com/offer/bug-bounty/
27) Shopify
Program Whitehat firmy Shopify nagradza badaczy bezpieczeństwa za znajdowanie poważnych luk w zabezpieczeniach
Minimalna wypłata: Minimalna kwota zapłacona przez Shopify wynosi 500 USD.
Maksymalna wypłata: Nie ma ustalonego górnego limitu wypłaty nagrody.
Link do zlecenia: https://www.shopify.in/whitehat
28) Word Press
WordPress zachęca również badaczy bezpieczeństwa do zgłaszania błędów, które znaleźli.
Minimalna wypłata: WordPress płaci minimum 150 USD za zgłaszanie błędów w swojej witrynie.
Maksymalna wypłata: Firma nie ustala maksymalnego limitu wypłaty jako bounty.
Link do zlecenia: https://make.wordpress.org/core/handbook/testing/reporting-bugs/
29) Zomato
Zomato pomaga badaczowi bezpieczeństwa zidentyfikować problemy związane z bezpieczeństwem w witrynie lub aplikacjach firmy.
Minimalna wypłata: Zomato zapłaci minimum 1000 $ za znalezienie ważnych błędów.
Maksymalna wypłata: nie ma maksymalnej stałej kwoty.
Link do nagród: https://www.zomato.com/security
30) Projekt Tor
Program wykrywania błędów w Tor Project obejmuje dwie z jego podstawowych usług: jego demona sieciowego i przeglądarkę.
Ograniczenie: aplikacje OpenSSL są wyłączone z tego zakresu.
Minimalna wypłata: Minimalna kwota zapłacona przez nich wynosi 100 USD.
Maksymalna wypłata: Firma zapłaci maksymalnie 4000 USD.
(Brak linku) Bounty Link: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie obsługi JavaScript.
31) Hackerone
HackerOne to jedna z największych platform do koordynowania luk w zabezpieczeniach i zgłaszania błędów. Pomaga firmom chronić dane konsumentów, współpracując z globalną społecznością badawczą w celu znalezienia najbardziej istotnych problemów z bezpieczeństwem. Wiele znanych firm, takich jak Yahoo, Shopify, PHP, Google, Snapchat i Wink, korzysta z usługi tej witryny, aby nagrodzić badaczy bezpieczeństwa i etycznych hakerów.
Bounty Link: https://hackerone.com/bug-bounty-programs
32) Bugcrowd
Potężna platforma łącząca globalną społeczność badaczy bezpieczeństwa z rynkiem bezpieczeństwa. Ta witryna ma na celu zapewnienie klientom na całym świecie odpowiedniej kombinacji i rodzaju badaczy dostosowanych do konkretnej witryny internetowej. Hakerzy muszą po prostu wybrać swoje raporty w tej witrynie, a jeśli wykryją właściwe błędy, konkretna firma zapłaci odpowiednią kwotę tej osobie.
Link do zlecenia: https://www.bugcrowd.com/bug-bounty-list/