标签: 漏洞赏金

漏洞赏金平台 HackerOne 完成 3640 万美元 D 轮融资

据外媒VentureBeat报道,2018年,全球网络安全市场固定在1520亿美元,预计几年内将增长到2500亿美元。无论公司投入多少资金以确保其产品无故障,其系统中可能存在某些漏洞,使其容易被入侵。在此背景下,漏洞赏金平台HackerOne周日宣布,其已经在Valor Equity Partners领投的D轮融资中募集了3640万美元,另外包括Benchmark,New Enterprise Associates,Dragoneer Investment Group和EQT Ventures等跟投。 总部位于旧金山的HackerOne成立于2012年,是一个将公司与安全研究人员或“白帽黑客”联系起来的平台,后者将可以查找和报告软件应用程序中的安全漏洞而获得现金奖励。 除了为发现和报告漏洞的人提供奖励之外,HackerOne向公司收取20%的佣金。该公司表示,针对白帽黑客攻击关键漏洞的平均奖金现在为3384美元,同比增长48%,其中六名HackerOne社区成员的总收入超过100万美元。 早在6月份,在网络攻击危及数据并禁用关键计算机系统后,佛罗里达州的两个城市向黑客集体支付了超过100万美元的比特币赎金。这有助于说明针对不良行为者的吸引力应用程序和数据库漏洞 – 它不仅仅是窃取数据,因为勒索软件攻击也可以证明是非常有利可图的。此外,越来越多的软件公司成为网络犯罪分子的目标。这就是为什么投资者热衷于支持HackerOne及其旧金山竞争对手BugcroWD等漏洞赏金平台的原因,该公司去年筹集了2600万美元的资金。 “HackerOne正在引领新一波网络安全公司应对快速增长和更复杂的攻击带来的独特挑战,”Valor Equity Partners的David Obrand说道,他现在加入了HackerOne的董事会。“以黑客为动力的安全性已经存在,而且凭借其巨大的客户和黑客社区,HackerOne正在主导市场。” HackerOne声称其拥有一些著名的客户,包括阿里巴巴,Airbnb,美国国防部,Dropbox,高盛,英特尔,星巴克,Spotify,任天堂,PayPal,丰田,Twitter等等。根据该公司的说法,白帽黑客每天都会通过HackerOne与公司联系,并且在超过四分之三的新漏洞奖励计划中,一天之内就会报告一个有效的漏洞。据HackerOne称,其中四分之一被认为具有“高”或“严重”漏洞。 HackerOne首席执行官Marten Mickos补充说:“HackerOne的成立是为了让世界能够建立一个更安全的互联网。我们的业务增长速度超过了市场平均水平,随着一些世界领先组织(金融服务、零售、酒店等)越来越多的采用,现在是时候让全球所有组织都可以使用HackerOne社区和平台了这依赖于软件。” HackerOne之前筹集了大约7400万美元,其中包括2017年完成的4000万美元C轮融资。该公司计划加快全球扩张并扩大其“企业和数据驱动产品”。“这一轮新的资金使我们能够为每个人带来黑客驱动的安全性,”Mickos补充道。   (稿源:cnBeta,封面源自网络。)

奖金 10 万美元 约翰·迈克菲招募黑客攻击 Bitfi 数字钱包

McAfee反病毒软件创始人约翰迈克菲最近在社交媒体上高调招募黑客攻击他公司新产品Bitfi数字钱包,他表示会给那些可以闯入Bitfi钱包的人提供10万美元奖金。约翰迈克菲表示,对于那些声称没有什么设备是不可破解的人来说,Bitfi钱包真的是世界上第一个不可攻击的设备,任何可以破解它的人都可获得10万美元的赏金。 Bitfi营销团队已经足够快速地制定了一些关于这场比赛的官方规则。这个团队表示:“我们坚信奖金的价值在于努力解决任何可能对Bitfi钱包安全性的担忧。这个赏金计划并不是为了帮助Bitfi识别安全漏洞,因为我们已经声称我们的钱包安全性是绝对的,并且钱包不会受到外部攻击的攻击或侵入。相反,这个活动旨在向任何声称或认为没有任何不可攻击或者他们可以侵入Bitfi钱包的人展示,这样的尝试是徒劳的,并且关于Bitfi钱包的广告声明是准确的。” 不过参与攻击Bitfi数字钱包攻击活动的黑客首先需要购买一个Bitfi钱包才能参与这次活动,并额外支付50美元才能将一些加密货币加载到设备上供参与者攻击和偷窃。申请赏金的规则很简单:“如果您成功提取硬币并清空钱包,这将被视为成功的黑客攻击,并且提供钱包清空的证据,然后你可以保留提取的数字货币,Bitfi说他们会向你支付10万美元。“ 约翰迈克菲还要求参与者公开任何攻击尝试,以便该过程可以帮助其他人进一步攻击Bitfi钱包。   稿源:cnBeta,封面源自网络;

卡巴斯基实验室扩展漏洞赏金计划,奖金提至 5000 美元

俄罗斯跨国网络安全公司和防病毒提供商卡巴斯基实验室已经宣布扩大漏洞奖金计划, 在新闻稿中,该公司指出,这项计划开始于 2016 年 8 月 1 日,卡巴斯基和平台提供商 HackerOne 合作,并持续六个月,目前已经在两个产品Kaspersky Internet Security 2017 和 Kaspersky Endpoint Security 10当中发现了 20 个漏洞。 扩展后的错误奖赏计划将发现远程代码执行漏洞的奖金从最高 2000 美元提升至最高 5000 美元,并且将另外一款产品 Kaspersky Password Manager 8 添加到目标产品的阵容当中。与第一阶段相反,现在“合格的个人和组织”可以提交关于三种 Kasperksy 产品的漏洞报告。 卡巴斯基正在招募测试者,在 Windows 8.1 或更新的微软桌面操作系统上测试这三种产品,具体意图是查找本地权限提升,用户数据泄密和远程代码执行方面的漏洞。平均来说,这些方面的漏洞奖金分别为 1000 美元,2000 美元和 5000 美元。 稿源:cnBeta,封面源自网络

Uber 竟为合作公司的漏洞支付了 9,000 美元赏金?

安全公司 Positive Technologies 曾发现反勒索备份服务 Code42 存在 XML 外部实体漏洞,近日据外媒报道,研究员将此漏洞上报后,由 Uber 为合作公司支付了漏洞赏金 9,000 美元。 安全公司 Positive Technologies 的渗透测试员 Vladimir Ivanov 发现,反勒索软件备份服务 Code42 存在的 XML 外部实体漏洞能够获得所有用户的备份访问权限、窃取使用该服务的组织(含 Uber、Adobe 和 Lockheed Martin 等)的数据。 由于检测结果显示漏洞涉及 Uber 且 Code42 并无漏洞赏金计划,Ivanov 选择通过 HackerOne 向 Uber 报告了这一漏洞,后者核实后确认它是一个 0day 随后也通知了 Code42 及时修复。Code42 方面则要求 Ivanov 等待所有客户更新完毕后方可披露漏洞细节。 稿源:HackerNews.cc 翻译/整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

美国陆军漏洞赏金计划“ Hack the Army ”圆满结束,修复 118 处漏洞

据外媒报道,本周四美国陆军宣布漏洞赏金计划“ Hack the Army ”结果,该计划为期三周并于去年 12 月 21 日结束。 2016 年 11 月 11 日,在得克萨斯州的一个新闻发布会上,军方称继“ Hack the Pentagon ”(入侵五角大楼)漏洞赏金项目成功之后,美国陆军也将推出漏洞赏金项目“ Hack the Army ”(入侵军队)。该项目将继续由漏洞赏金平台 HackerOne 负责进行,军方希望借助黑客社区邀请符合条件的黑客来发现、修复未知的安全漏洞,以便在未来几周内增强网络的安全性。 美军称这次漏洞赏金计划取得了圆满成功,项目共收到了 400 多个漏洞报告,其中 118 是有效可复现的。美国陆军共向参与者支付了 100,000 美元的漏洞赏金。该项目共有 371 人 被邀请参加,其中 17 人来自军队, 8 人来自政府雇员。 美军还分享了一个高危漏洞的详情,研究人员发现了 goarmy.com 网站上存在两个漏洞,攻击者可以利用这两个漏洞通过开放的代理服务无需身份验证,即可访问国防部内部网站。 稿源:HackerNews.cc 翻译整理,封面来源:百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。

任天堂推出 3DS 漏洞赏金计划,最多可获 20000 美金

近日,任天堂在漏洞众测平台 HackerOne 上挂上了 3DS的漏洞悬赏任务,提交漏洞的用户可获得任天堂评估给出的 100 到20000 美金不等的报酬。   HackerOne 是一家传奇的漏洞众测平台,很多世界知名的公司都使用它来排除漏洞,例如:Yahoo、Twitter、Adobe、Facebook 等,甚至美国国防部也与其合作参与 “Hack the Pentagon” 的漏洞奖励计划。在HackerOne 有来自 150 多个国家 3000 多名黑客,同时 HackerOne 也是最早接受并利用黑客开展商业模式的公司之一。 此次任天堂在 HackerOne 上公布的任务仅针对 3DS 平台。简而言之,任天堂将对第一位上报合格的漏洞的用户奖励 100 至 20000 不等美元的报酬,具体的奖励金额由任天堂自行评估给出,并且保密。任天堂或者公众已知的漏洞不符合奖励的条件,同时奖励不会发放给处于制裁名单上的人与处于制裁国家名单上的人。 稿源:游民星空,封面:游民星空

美国防部宣布新漏洞政策、陆军漏洞赏金计划开始报名

美国国防部( DoD )周一宣布已制定一个新的漏洞披露政策。该政策旨在为研究人员提供一个渠道,披露政府网站中发现的安全漏洞。 新的漏洞披露政策不提供任何奖励回报,它提供了一个合法渠道去报告漏洞。五角大楼希望该政策会鼓励网络安全社区去帮助政府机构提高其防御能力。 黑客发现了任何公共网站漏洞,包括国防部控制的尤其是 defense.gov 和. mil 域名,都可以通过 HackerOne 提交一份报告。该组织已承诺将在三个工作日内确认报告并公开向提交有效问题的黑客致谢。 此外,之前公布的陆军漏洞赏金项目 “ Hack the Pentagon ” 于周一正式开放注册报名,约 500 白帽黑客有望参加挑战,报名截止到 11 月 28 日,该计划将 11 月 30 日至 12 月 21 日之间进行。 稿源:本站翻译整理,封面来源:百度搜索

美国陆军效仿五角大楼发布漏洞赏金计划“ Hack the Army ”

周五(11月11日)在得克萨斯州的一个新闻发布会上,军方称继“ Hack the Pentagon ”(入侵五角大楼)漏洞赏金项目成功之后,美国陆军也将推出漏洞赏金项目“ Hack the Army ”(入侵军队)。 该项目将继续由漏洞赏金平台 HackerOne 负责进行,军方希望借助黑客社区邀请符合条件的黑客来发现、修复未知的安全漏洞,以便在未来几周内增强网络的安全性。 目前,军队还没有发布任对新的“ Hack the Army ” 项目的具体细节。 稿源:本站翻译整理,封面来源:HackerOne.com

美国防部宣布继续“攻陷五角大楼”漏洞赏金计划

据外媒报道,美国国防部门(DOD)10 月 21 日宣布将继续“攻陷五角大楼”漏洞赏金计划。美国国防部部长卡特称这次的漏洞赏金计划将扩大到国防部的其他部分。这次的活动将由 HackerOne 和 SYNACK 策划管理。之前的漏洞赏金计划从 2016 年 4 月 18 日直到 2016 年 5 月 12 日,吸引 1410 名黑客参加,修复 138 个有效漏洞,发放 75,000 美金赏金。从结果上,美国国防部门认为该项目有效并将长期进行下去。 稿源:本站翻译整理,封面来源:百度搜索