Ниже приведен тщательно подобранный список баунти-программ известных компаний.
1) Intel
Программа вознаграждений Intel в основном нацелена на оборудование, прошивку и программное обеспечение компании.
Ограничения: сюда не входят недавние приобретения, веб-инфраструктура компании, сторонние продукты или что-либо, имеющее отношение к McAfee.
Минимальная выплата: Intel предлагает минимальную сумму в 500 долларов за обнаружение ошибок в своей системе.
Максимальная выплата: Компания платит максимум 30 000 долларов за обнаружение критических ошибок.
Баунти-ссылка: https://security-center.intel.com/BugBountyProgram.aspx
2) Yahoo
У Yahoo есть специальная команда, которая принимает отчеты об уязвимостях от исследователей безопасности и этических хакеров.
Ограничения: Компания не предлагает вознаграждений за обнаружение ошибок в блогах Word для прессы Yahoo.net, Yahoo 7 Yahoo Japan, Onwander и Yahoo.
Минимальная выплата: Yahoo не устанавливает ограничений на минимальную выплату.
Максимальная выплата: Yahoo может заплатить 15000 долларов за обнаружение важных ошибок в своей системе.
Баунти-ссылка: https://safety.yahoo.com/Security/REPORTING-ISSUES.html
3) Snapchat
Команда безопасности Snapchat проверяет все отчеты об уязвимостях и принимает меры, ответственно раскрывая их. Компания, мы подтвердим вашу заявку в течение 30 дней.
Минимальная выплата: Snapchat заплатит минимум 2000 долларов.
Максимальная выплата: максимальная сумма выплаты составляет 15 000 долларов США.
Баунти-ссылка: https://support.snapchat.com/en-US/i-need-help
4) Cisco
Cisco призывает людей или организации, у которых возникла проблема с безопасностью продукта, сообщать о них в компанию.
Минимальная выплата: минимальная сумма выплаты Cisco составляет 100 долларов США.
Максимальная выплата: Компания выделит максимум 2500 долларов на обнаружение серьезных уязвимостей.
Ссылка на вознаграждение: https://tools.cisco.com/security/center/resources/security_vulnerability_policy.html
5) Dropbox
Программа вознаграждений Dropbox позволяет исследователям безопасности сообщать об ошибках и уязвимостях в стороннем сервисе HackerOne.
Минимальная выплата: минимальная выплачиваемая сумма составляет 12 167 долларов США.
Максимальная выплата: максимальная предлагаемая сумма составляет 32 768 долларов США.
Баунти-ссылка: https://help.dropbox.com/accounts-billing/security/how-security-works
6) Яблоко
Когда Apple впервые запустила свою программу вознаграждения за ошибки, в нее было допущено всего 24 исследователя безопасности. Затем структура была расширена и теперь включает больше охотников за ошибками.
Компания заплатит 100 000 долларов тем, кто сможет извлекать данные, защищенные технологией Apple Secure Enclave.
Минимальная выплата: Apple Inc. не устанавливает ограничений на сумму.
Максимальная выплата: самая высокая награда от Apple составляет 200 000 долларов за проблемы с безопасностью, влияющие на ее прошивку.
Баунти-ссылка: https://support.apple.com/en-au/HT201220
7) Facebook
В рамках программы поощрения ошибок Facebook пользователи могут сообщить о проблеме безопасности в Facebook, Instagram, Atlas, WhatsApp и т. Д.
Ограничения: существует несколько проблем безопасности, которые платформа социальных сетей считает недопустимыми.
Минимальная выплата: Facebook заплатит минимум 500 долларов за обнаруженную уязвимость.
Максимальная выплата: Facebook не устанавливает верхнего предела выплаты.
Баунти-ссылка: https://www.facebook.com/whitehat/
8) Google
Каждый контент на .google.com, .blogger, youtube.com открыт для программы вознаграждения Google за уязвимости.
Ограничения: эта программа вознаграждений охватывает только вопросы проектирования и реализации.
Минимальная выплата: Google заплатит минимум 300 долларов за поиск вопросов безопасности.
Максимальная выплата: Google выплатит самую высокую награду в размере 31,337 долларов США за обычные приложения Google.
Баунти-ссылка: https://www.google.com/about/appsecurity/reward-program/
9) Quora
Quora предлагает всем пользователям и исследователям программу Bug Bounty, которая позволяет находить уязвимости в системе безопасности и сообщать о них.
Минимальная выплата: Quora заплатит минимум 100 долларов за обнаружение уязвимостей на своем сайте.
Максимальная выплата: максимальная выплата, предлагаемая этим сайтом, составляет 7000 долларов.
Баунти-ссылка: https://engineering.quora.com/Security-Bug-Bounty-Program
10) Mozilla
Mozilla вознаграждает за обнаружение уязвимостей этическими хакерами и исследователями безопасности.
Ограничения: вознаграждение предлагается только за ошибки в сервисах Mozilla, таких как Firefox, Thunderbird и других связанных приложениях и сервисах.
Минимальная выплата: минимальная сумма, предоставляемая Firefox, составляет 500 долларов США.
Максимальная выплата: Компания выплачивает максимум 5000 долларов США.
Баунти-ссылка: https://www.mozilla.org/en-US/security/bug-bounty/
11) Microsoft
Текущая программа поощрения ошибок Microsoft была официально запущена 23 сентября 2014 года и касается только онлайн-сервисов.
Ограничения: награда предоставляется только за критические и важные уязвимости.
Минимальная выплата: Microsoft готова заплатить 15 000 долларов за обнаружение критических ошибок.
Максимальная выплата: максимальная сумма может составлять 250 000 долларов США.
Баунти-ссылка: https://technet.microsoft.com/en-us/library/dn425036.aspx
12) OpenSSL
OpenSSL bounty позволяет сообщать об уязвимостях, используя защищенную электронную почту (ключ PGP). Вы также можете сообщить об уязвимостях Управленческому комитету OpenSSL.
Минимальная выплата: Компания выплачивает минимальное вознаграждение в размере 500 долларов США.
Максимальная выплата: максимальная сумма, предоставленная компанией, составляет 5000 долларов США.
Баунти-ссылка: https://www.openssl.org/news/vulnerabilities.html
13) Vimeo
Vimeo приветствует любые сообщения об уязвимостях безопасности в своих продуктах, поскольку компания платит этому человеку хорошее вознаграждение.
Минимальная выплата: Компания выплатит минимум 500 долларов США.
Максимальная выплата: максимальная сумма, выплачиваемая этой компанией, составляет 5000 долларов США.
Баунти-ссылка: https://vimeo.com/about/security
14) Апач
Apache поощряет этичных хакеров сообщать об уязвимостях системы безопасности в один из своих списков рассылки частной безопасности.
Минимальная выплата: минимальная сумма выплаты, предоставляемая Apache, составляет 500 долларов США.
Максимальная выплата: эта компания может предоставить максимальное вознаграждение в размере 3000 долларов США.
Баунти-ссылка: https://www.apache.org/security/
15) Twitter
Twitter позволяет исследователям и экспертам по безопасности узнавать о возможных уязвимостях в своих сервисах. Компания поощряет людей находить ошибки.
Минимальная выплата: Twitter платит минимум 140 долларов.
Максимальная выплата: максимальная сумма, выплачиваемая компанией, составляет 15000 долларов США.
Баунти-ссылка: https://support.twitter.com/articles/477159
16) Аваст
Программа вознаграждений Avast поощряет этичных хакеров и исследователей безопасности сообщать об удаленном выполнении кода, локальном повышении привилегий, DOS, обходе сканера и других проблемах.
Минимальная выплата: Avast может выплатить вам минимальную сумму в 400 долларов.
Максимальная выплата: максимальная сумма, предлагаемая компанией, составляет 10 000 долларов США.
Баунти-ссылка: https://www.avast.com/bug-bounty
17) Paypal
Служба платежного шлюза Paypal также предлагает программы вознаграждения за ошибки для исследователей безопасности.
Ограничения:
Уязвимости, зависящие от методов социальной инженерии, заголовок хоста
Отказ в обслуживании (DOS), полезная нагрузка, определяемая пользователем, подмена контента без встроенных ссылок / HTM, уязвимости, требующие взломанного мобильного устройства и т. Д.
Минимальная выплата: Paypal может заплатить минимум 50 долларов за обнаружение уязвимостей в своей системе.
Максимальная выплата: максимальная сумма выплаты, предоставляемая Paypal, составляет 10000 долларов США.
Баунти-ссылка: https://hackerone.com/paypal
18) GitHub
GitHub запускает программу вознаграждения за ошибки с 2013 года. Каждый успешный участник зарабатывал баллы за свои сообщения об уязвимостях в зависимости от серьезности.
Ограничение: исследователь безопасности получит эту награду только в том случае, если он уважает данные пользователей и не использует какие-либо проблемы для проведения атаки, которая может нанести ущерб целостности сервисов или информации GitHub.
Минимальная выплата: Github платит минимум 200 долларов за обнаружение ошибок.
Максимальная выплата: Github может заплатить 10000 долларов за обнаружение критических ошибок.
Баунти-ссылка: https://bounty.github.com/
19) Убер
Программа вознаграждения за уязвимости Uber в первую очередь направлена на защиту данных пользователей и своих сотрудников.
Минимальная выплата: предопределенной минимальной суммы не существует.
Максимальная выплата: Uber заплатит вам 10 000 долларов за обнаружение критических ошибок.
Баунти-ссылка: https://eng.uber.com/bug-bounty-map/
20) Magento
Программа баунти Magneto позволяет сообщать об уязвимостях безопасности в программном обеспечении Magneto или на веб-сайтах.
Ограничения:
Следующее исследование безопасности не имеет права на вознаграждение
- Возможный или фактический отказ в обслуживании приложений и систем Magento.
- Использование эксплойта для просмотра данных без авторизации.
- Автоматизированное / скриптовое тестирование веб-форм
Минимальная выплата: минимальная сумма выплаты для этой программы вознаграждений составляет 100 долларов США.
Максимальная выплата: Magento платит максимум 10 000 долларов за обнаружение критических ошибок.
Баунти-ссылка: https://magento.com/security
21) Perl
Perl также запускает программы вознаграждения за ошибки. Если кто-то обнаружит уязвимость безопасности в Perl, он может связаться с компанией.
Минимальная выплата: Компания выплачивает минимальную сумму в размере 500 долларов США.
Максимальная выплата: максимальная сумма, которую дает Perl, составляет 1500 долларов.
Ссылка на вознаграждение : http://perldoc.perl.org/perlsec.html#SECURITY-VULNERABILITY-CONTACT-INFORMATION
22) PHP
PHP позволяет этичным хакерам находить ошибку на своем сайте.
Ограничения: вам необходимо проверить список уже обнаруженных ошибок. Если вы не выполните эту инструкцию, ваша ошибка не будет считаться.
Максимальная выплата: минимальная сумма выплаты составляет 500 долларов США.
Минимальная выплата: PHP предоставляет максимум 1500 долларов за поиск важных ошибок.
Ссылка на вознаграждение: https://bugs.php.net/report.php?bug_type=Security
23) Старбакс
Starbucks запускает программу bug Bounty для защиты своих клиентов. Они поощряют обнаружение вредоносной активности в своих сетях, политиках веб-приложений и мобильных приложений.
Минимальная выплата: минимальная сумма, выплачиваемая Starbucks 100 долларов США.
Максимальная выплата: максимальная сумма достигает 4000 долларов.
Баунти-ссылка: https://www.starbucks.com/whitehat
24) AT&T
AT&T также имеет свой канал поиска ошибок. Разработчики и эксперты по безопасности могут исследовать различные платформы, такие как веб-сайты, API-интерфейсы и мобильные приложения.
Минимальная выплата: минимальная выплачиваемая сумма составляет 500 долларов США.
Максимальная выплата: такого верхнего предела выплаты нет.
Баунти-ссылка: https://bugbounty.att.com/
25) LinkedIn
LinkedIn приветствует отдельных исследователей, которые делятся своим опытом и временем для поиска ошибок.
Компания вознаградит вас, но ни минимальная, ни максимальная сумма не подходят для этой цели.
Ссылка на вознаграждение: https://security.linkedin.com/posts/2015/private-bug-bounty-program
26) Пэйтм
Paytm приглашает независимые группы безопасности или отдельных исследователей изучить его на всех платформах.
Ограничения:
- Отчеты, в которых говорится, что программное обеспечение устарело / уязвимо без «Подтверждения концепции».
- Проблемы XSS, затрагивающие только устаревшие браузеры.
- Стек трассировок, раскрывающих информацию.
- Любые проблемы с мошенничеством
Минимальная выплата: Компания заплатит минимум 15 долларов за обнаружение ошибок.
Максимальная выплата: эта компания не устанавливает верхний предел.
Баунти-ссылка: https://paytm.com/offer/bug-bounty/
27) Shopify
Программа Shopify Whitehat вознаграждает исследователей безопасности за обнаружение серьезных уязвимостей
Минимальная выплата: минимальная сумма, выплачиваемая Shopify, составляет 500 долларов США.
Максимальная выплата: нет фиксированного верхнего предела для выплаты награды.
Баунти-ссылка: https://www.shopify.in/whitehat
28) Word Press
WordPress также приглашает исследователей безопасности сообщать об обнаруженных ими ошибках.
Минимальная выплата: WordPress платит минимум 150 долларов за сообщения об ошибках на своем сайте.
Максимальная выплата: Компания не устанавливает максимальный предел выплаты вознаграждения.
Баунти-ссылка: https://make.wordpress.org/core/handbook/testing/reporting-bugs/
29) Зомато
Zomato помогает исследователям в области безопасности выявить проблемы, связанные с безопасностью, на веб-сайте или в приложениях компании.
Минимальная выплата: Zomato заплатит минимум 1000 долларов за обнаружение важных ошибок.
Максимальная выплата: максимальной фиксированной суммы не существует.
Баунти-ссылка: https://www.zomato.com/security
30) Проект Tor
Программа поощрения ошибок Tor Project охватывает два основных сервиса: сетевой демон и браузер.
Ограничение: приложения OpenSSL исключены из этой области.
Минимальная выплата: минимальная выплачиваемая ими сумма составляет 100 долларов США.
Максимальная выплата: Компания выплатит вам максимум 4000 долларов.
(Ссылка отсутствует) Bounty Link: Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.
31) Хакерон
HackerOne - одна из крупнейших платформ для координации уязвимостей и вознаграждения за ошибки. Это помогает компаниям защитить данные своих клиентов, работая с мировым исследовательским сообществом над поиском наиболее актуальных проблем безопасности. Многие известные компании, такие как Yahoo, Shopify, PHP, Google, Snapchat и Wink, пользуются услугами этого веб-сайта, чтобы вознаградить исследователей в области безопасности и этических хакеров.
Баунти-ссылка: https://hackerone.com/bug-bounty-programs
32) Bugcrowd
Мощная платформа, соединяющая глобальное сообщество исследователей безопасности с рынком безопасности. Этот сайт направлен на то, чтобы предоставить клиентам по всему миру правильный состав и тип исследователей, подходящих для конкретного веб-сайта. Хакерам просто нужно выбрать свои отчеты на этом сайте, и если они смогут обнаружить правильные ошибки, конкретная компания заплатит сумму этому человеку.
Баунти-ссылка: https://www.bugcrowd.com/bug-bounty-list/