漏洞赏金计划仍是2024年网络安全战略的重要组成部分,它使组织能够从各种网络安全专业人员和研究人员那里获得帮助。这些计划提供针对新兴威胁的持续测试。漏洞赏金猎人因成功报告漏洞赏金计划涵盖的资产中的漏洞而获得经济奖励或其他形式的认可。通过网络钓鱼等社会工程手段实现的漏洞通常不予奖励。对于道德黑客来说,2024年漏洞赏金狩猎的最佳实践是彻底侦察目标组织的技术堆栈,而不仅仅是运行自动化工具。Bugcrowd、HackerOne、Synack、YesWeHack和Intigriti等领先的漏洞赏金平台为发现和报告安全漏洞的人提供奖励。平台将道德黑客与组织联系起来,为漏洞披露和解决提供结构化框架——代表其企业客户管理漏洞赏金奖励。技术提供商和政府组织运行独立的漏洞赏金计划,作为更广泛的安全测试策略的一部分,其中还包括渗透测试。
1. Alphabet:提高漏洞悬赏金额
Alphabet认识到,随着系统越来越成熟,发现漏洞变得越来越困难,因此7月份该公司将漏洞赏金计划提供的奖励提高至最高151,515美元。
支付金额将反映报告的质量,质量卓越的报告将获得基本支付额的50%奖励。相反,质量较差但有效的漏洞披露将仅获得其应得奖励的一半。
例如,一个导致Gmail账户被盗用的逻辑漏洞将获得50,000美元的奖励,乘以1.5倍的潜在质量乘数,最高奖励可达75,000美元。而在今年奖励增加之前,同样的漏洞只能获得13,337美元的奖励。
Google Web Services、其Chrome浏览器以及Android和Google设备均属于Google漏洞奖励计划(VRP)的范畴。
2. 微软:修改了长期存在的漏洞披露方案
微软也不甘示弱,在过去一年中大幅增加了漏洞赏金支出。2020年至2023年期间,微软通过漏洞赏金计划每年支付约1300万美元。然而,在2024年,这一金额增加到了1660万美元。
此次奖励颁给了来自55个国家的343名安全研究人员。该计划涵盖包括Azure、Microsoft Identity、Edge、Windows和Office 365在内的云服务。
微软在一篇回顾其漏洞赏金计划的博客文章中表示:“随着安全形势和微软攻击面的演变,微软赏金计划也在不断发展。无论是扩大范围以涵盖新的微软产品和服务,还是调整研究目标以防范恶意行为者和新型攻击媒介,微软赏金计划都会不断改进计划。”
今年4月,微软推出了专门针对人工智能的全新漏洞赏金计划,为涉及其Copilot AI技术的经过验证的漏洞报告提供高达15,000美元的奖励。
3. 英国国防部:武装自己以抵御安全威胁
今年2月,英国国防部(MOD)宣布将与HackerOne合作扩大防御安全计划。
这项为期三年的计划最初涵盖漏洞披露和漏洞赏金计划。国防部现已扩大漏洞披露计划(VDP)的范围,将其几家主要供应商纳入其中,作为一项更广泛计划的一部分,旨在改善供应链安全,并最终推动他们推出自己的漏洞披露计划。
云软件即服务协作平台提供商Kahootz是国防部供应商VDP计划的初始采用者。
英国的计划至少在一定程度上受到了美国“黑掉五角大楼”计划的启发。
4. Backpack交易所:漏洞最高可获赔10万美元
那些寻求更多丰厚回报的人应该寻找Backpack中的漏洞,Backpack是一家专注于非托管钱包和浏览器扩展的交易所。漏洞赏金计划也于7月推出,由Immunefi主办,为确认Backpack网页或API中的漏洞提供高达100,000美元的奖励。
5. 人工智能初创公司Anthropic:推出漏洞报告计划
人工智能初创公司Anthropic于8月启动了一项由HackerOne管理的漏洞披露计划(VDP),对可能暴露CBRN(化学、生物、放射和核)和网络安全等关键高风险领域漏洞的新型通用越狱攻击提供高达15,000美元的赏金。
人工智能越狱攻击涉及一种规避人工智能系统内置安全措施和道德准则的方法,允许用户从人工智能系统中引发通常会被阻止的响应或行为。
Anthropic在关于改版计划的博客文章中表示:“在我们致力于开发下一代人工智能保护系统的同时,我们正在扩大我们的漏洞赏金计划,推出一项新举措,重点是查找我们用来防止模型被滥用的缓解措施中的缺陷。”
VDP提供了一个结构化的系统,使安全研究人员可以更轻松地报告漏洞,而无需提供财务奖励。随着时间的推移,许多组织已经从VDP过渡到完全成熟的奖励漏洞赏金计划。
Anthropic的VDP涵盖其面向公众的网站和其他数字资产,包括Claude iOS应用程序、claude.ai域、内部应用程序和服务、API和软件开发工具包。
6. 法国DINUM:提供最高5,000欧元
法国政府数字化转型的主管机构数字部门(DINUM)正在通过YesWeHack提供漏洞赏金计划。
该计划于2月启动,主要针对的是DINUM的Web应用程序和API。该计划欢迎报告经典的Web应用程序安全漏洞,包括SQL注入、跨站点脚本、跨站点请求伪造和远程代码执行。
攻击范围内的资产,如果能泄露有效凭证,可获得最高5,000欧元的奖励。敏感信息泄露报告不在本计划的范围内。
7. Netflix公司:接受漏洞赏金报告
Netflix的漏洞赏金计划旨在通过众包黑客社区的安全漏洞报告来增强其产品和服务的安全性。该计划于2018年公开,最初由Bugcrowd托管,后来转移到HackerOne。
该计划的最新版本于5月推出,为发现最严重漏洞的安全研究人员提供高达25,000美元的奖励。其主要目标包括Netflix.com的用户体验。
高严重性目标包括破坏内容授权或获取私钥的方法。Netflix的iOS和Android移动应用程序也在范围之内。
8. Airbnb公司:检查漏洞获取赏金
Airbnb于5月份通过HackerOne推出了一项改进的漏洞赏金计划。发现Airbnb网站或移动应用程序漏洞的道德黑客将获得高达25,000美元的奖励。
该计划涵盖在线寄宿家庭市场的各种网络应用程序安全漏洞。
自2015年首次推出该计划以来,Airbnb已通过该计划支付了总计240万美元的赏金。迄今为止,漏洞披露计划已解决1394份报告。平均赏金在500美元至750美元之间。
9.英国数字银行Monzo:最高12500欧元的漏洞赏金
7月,英国数字银行Monzo通过Intigriti推出了一项公共漏洞赏金计划。该计划为经验证的严重漏洞提供高达12,500欧元的奖励。
范围内的技术包括银行网站、API、内部工具和移动应用程序。
10. Grafana平台:寻求黑客帮助以根除源代码缺陷
Grafana是一个用于监控和可观察性的开源平台,它也通过Intigriti推出了一个漏洞赏金计划。通过该计划(于5月启动),报告严重且经过验证的漏洞可获得高达15,000欧元的奖励。
该计划旨在激励道德黑客发现Grafana软件中的缺陷。Grafana Labs开发的未默认安装的插件也可以接受,但没有资格获得奖励。
11. Bluefin公司:漏洞赏金最高可达5000美元
7月,Bluefin与Web3漏洞赏金和安全服务平台Immunefi合作推出了一个漏洞赏金计划。
trade.bluefin.io网站和相关资产是该计划的主要重点,提供高达5000美元的奖励。
范围包括各种网络安全漏洞,包括SQL注入、跨系统请求伪造以及导致敏感信息泄露的错误。业务逻辑问题和支付操纵问题也有资格获得潜在奖励。
【闲人闲话】
漏洞赏金计划的有效性体现在其能够迅速发现并修复漏洞,减少潜在的安全威胁。然而,未来这些计划可能需要进一步的创新来应对日益复杂的网络攻击。
未来,漏洞赏金计划可能会在几个方面发生变化。首先,奖励金额有望继续增长,以吸引更多顶尖安全研究人员。企业可能会根据漏洞的严重性和影响程度,设立分级奖励,以反映其风险评估。
此外,赏金计划将更加关注关键领域,如云计算、人工智能和物联网,以应对这些领域中的新兴威胁,特别是AI领域的漏洞发现可能引领赏金计划。
覆盖行业方面,除了科技公司,金融、医疗和政府等高风险行业也可能会扩大漏洞赏金计划的实施范围,以保护敏感数据和关键基础设施。整体而言,漏洞赏金计划的未来将更具针对性和广泛性,成为提升网络安全不可或缺的工具。
参考资源
https://www.csoonline.com/article/657751/top-bug-bounty-programs.html
声明:本文来自网空闲话plus,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
